日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

據我所知，Java序列化漏洞一年多前已被披露，它由一位安全研究人員在PayPal的服務器中發(fā)現。那么，這是個什么樣的漏洞，為什么它還未被修復?攻擊者是如何利用它的?

Nick Lewis：Java序列化漏洞發(fā)生在：當輸入內容從已經通過互聯網提交的格式轉換成另一種格式時，隨后這種格式會保存在數據庫中。當該漏洞存在時，在這個轉換過程中處理的數據可被用于在某些易受攻擊軟件中進行遠程代碼執(zhí)行。該漏洞曾被認為只是理論上的，因為其非常難以被利用，但后來FoxGlove Security在博客文章中發(fā)布了針對其可廣泛使用的軟件漏洞利用代碼。通過這個漏洞利用代碼，Java序列化漏洞成了企業(yè)需要應對的問題。

在安全研究人員Mark Litchfield發(fā)現這個漏洞后，PayPal工程人員檢查了這個特定的Java序列化漏洞，并介紹了他們如何在其系統(tǒng)中修復了這個漏洞。安全研究人員Michael Stepankin也詳細探討了他如何通過這個漏洞在PayPal服務器遠程執(zhí)行代碼。

在PayPal工程人員尋找其產品中漏洞代碼的過程中我們可了解到，為什么企業(yè)(包括PayPal)沒有在漏洞利用代碼發(fā)布前修復這個漏洞：因為如果企業(yè)沒有中央軟件開發(fā)資源庫，他們非常難以發(fā)現這個漏洞代碼，他們將需要掃描所有網絡應用來尋找易受攻擊的系統(tǒng)。

為了抵御這種類型的Java序列化攻擊，企業(yè)應該將安全整合到其軟件開發(fā)生命周期中。作為非特權用戶運行web服務器而沒有在系統(tǒng)執(zhí)行代碼的權限，可減少該漏洞被用于遠程代碼執(zhí)行的風險。

新聞標題：為何Java序列化漏洞并未被修復？
標題路徑：http://www.5511xx.com/article/dhccgcd.html