如何修复 JMX 中的 java 序列化漏洞?
HowTo Fix java serialization vulnerability in JMX?
https://github.com/frohoff/ysoserial
是一个概念验证工具,用于生成利用不安全 Java 对象反序列化的有效负载。它也适用于 JMX。
有什么方法可以使 JMX 安全吗?
我也读了https://tersesystems.com/2015/11/08/closing-the-open-door-of-java-object-serialization/。我不明白如何在我的项目中使用 NotSoSerial。
您可以 运行 NotSoSerial,方法是从 githhub 构建项目,然后获取 jar 并 运行在命令行中使用以下参数连接 JVM:
-javaagent:notsoserial.jar -Dnotsoserial.whitelist=empty.txt
如https://github.com/kantega/notsoserial#whitelisting-mode
中指定
如果你想使用 JMX 但不想使用 RMI(它使用 Java 序列化)然后查看 jmxtrans 或 Jolokia 看看你如何最好地锁定 JSON 消息从那里经过
https://github.com/frohoff/ysoserial
是一个概念验证工具,用于生成利用不安全 Java 对象反序列化的有效负载。它也适用于 JMX。
有什么方法可以使 JMX 安全吗? 我也读了https://tersesystems.com/2015/11/08/closing-the-open-door-of-java-object-serialization/。我不明白如何在我的项目中使用 NotSoSerial。
您可以 运行 NotSoSerial,方法是从 githhub 构建项目,然后获取 jar 并 运行在命令行中使用以下参数连接 JVM:
-javaagent:notsoserial.jar -Dnotsoserial.whitelist=empty.txt
如https://github.com/kantega/notsoserial#whitelisting-mode
中指定如果你想使用 JMX 但不想使用 RMI(它使用 Java 序列化)然后查看 jmxtrans 或 Jolokia 看看你如何最好地锁定 JSON 消息从那里经过