需要使用 myfaces 1.1 针对 Wildfly 10 反序列化不受信任数据的示例代码

【问题标题】:Need sample code for De-serialization of untrusted data with myfaces 1.1 against wildfly 10需要使用 myfaces 1.1 针对 Wildfly 10 反序列化不受信任数据的示例代码
【发布时间】:2018-08-25 06:58:58
【问题描述】:

Myfaces 序列化视图状态字符串易受攻击,因此需要一些示例代码来测试 myfaces 1.1 对 wildfly 10 的不可信数据的反序列化。

【问题讨论】:

    标签: java deserialization wildfly myfaces


    【解决方案1】:

    当在客户端保存模式下使用时,Myfaces 视图状态确实容易受到 Java 反序列化攻击。 Luca Carettoni 早在 2008 年就利用并报告了 Sun Java Web Console 中的漏洞。Sun 然后决定使用服务器端保存视图状态。

    如果您负担得起使用服务器端保存模式,请使用以下上下文参数:

         <context-param>
        <param-name>javax.faces.STATE_SAVING_METHOD</param-name>
        <param-value>client</param-value>
     </context-param>

    如果您想继续使用客户端保存视图状态,请确保使用强大的算法加密和解密视图状态,方法是设置以下上下文参数,如myfaces wiki 中所述。

    【讨论】:

      猜你喜欢
      • 2019-12-19
      • 1970-01-01
      • 2011-05-20
      • 1970-01-01
      • 1970-01-01
      • 2018-01-06
      • 2013-10-03
      • 2020-11-17
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode