我想评估我的基于 Spring 的客户端-服务器应用程序的安全性,该应用程序使用 Spring 的 HTTPInvoker 机制来交换数据。我知道过去已经解决了几个与 HTTPInvoker 使用的 Java 序列化有关的漏洞,其中最突出的漏洞之一是当 ajava.lang.reflect.Proxy以恶意方式使用时可能执行任意代码,请参阅http://wouter.coekaerts。 be/2011/spring-vulnerabilities详细解释。
修复包括禁用代理类反序列化的新设置,请参阅RemoteInvocationSerializingExporter#acceptProxyClasses. 据我了解,代理类对 Java(反)序列化构成严重风险,并且许多漏洞利用依赖于代理类。
在这种情况下,攻击者必须利用 HTTPInvoker 及其底层 Java 序列化机制中的漏洞来替代代理类的最重要替代方案是什么?是否存在与使用代理类一样严重的漏洞,我应该在我的雷达上发现这些漏洞?
我会很感激任何提示。谢谢。