大橙子网站建设,新征程启航

为企业提供网站建设、域名注册、服务器等服务

XMLDecoder反序列化漏洞

Java 调用XMLDecoder解析XML文件的时候,存在命令执行漏洞。

成都创新互联公司成都企业网站建设服务,提供成都网站建设、成都网站设计网站开发,网站定制,建网站,网站搭建,网站设计,成都响应式网站建设公司,网页设计师打造企业风格网站,提供周到的售前咨询和贴心的售后服务。欢迎咨询做网站需要多少钱:13518219792

样例XML文件如下所示:



	
		
			
				calc
			
		
		
	

对应Java代码如下所示:

package xmldecoder;

import java.io.BufferedInputStream;  
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;  
import java.util.ArrayList;  
import java.util.List;

  


public class XmlDecoderTest {

	public static void main(String[] args) {
		// TODO Auto-generated method stub
		java.io.File file = new java.io.File("d:/tmp/xmldecoder.xml");
		
		java.beans.XMLDecoder xd = null;
		try {
			xd = new java.beans.XMLDecoder(new BufferedInputStream(new FileInputStream(file)));
		} catch (FileNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}  
		  
        Object s2 = xd.readObject();  
        xd.close();
	}

}

执行效果如下所示:

XMLDecoder反序列化漏洞


分享题目:XMLDecoder反序列化漏洞
网页路径:http://dzwzjz.com/article/pipose.html
在线咨询
服务热线
服务热线:028-86922220
TOP