XMLDecoder反序列化漏洞
Java 调用XMLDecoder解析XML文件的时候,存在命令执行漏洞。
成都创新互联公司成都企业网站建设服务,提供成都网站建设、成都网站设计网站开发,网站定制,建网站,网站搭建,网站设计,成都响应式网站建设公司,网页设计师打造企业风格网站,提供周到的售前咨询和贴心的售后服务。欢迎咨询做网站需要多少钱:13518219792
样例XML文件如下所示:
对应Java代码如下所示:
package xmldecoder; import java.io.BufferedInputStream; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; import java.util.ArrayList; import java.util.List; public class XmlDecoderTest { public static void main(String[] args) { // TODO Auto-generated method stub java.io.File file = new java.io.File("d:/tmp/xmldecoder.xml"); java.beans.XMLDecoder xd = null; try { xd = new java.beans.XMLDecoder(new BufferedInputStream(new FileInputStream(file))); } catch (FileNotFoundException e) { // TODO Auto-generated catch block e.printStackTrace(); } Object s2 = xd.readObject(); xd.close(); } }
执行效果如下所示:
当前名称:XMLDecoder反序列化漏洞
本文URL:http://hbruida.cn/article/pipose.html