1. ホーム
  2. 質問と答え
  3. どのようにJMXのJavaシリアル化の脆弱性を修正しますか?

どのようにJMXのJavaシリアル化の脆弱性を修正しますか?

2016-05-20 7 views
1

https://github.com/frohoff/ysoserialどのようにJMXのJavaシリアル化の脆弱性を修正しますか?

危険なJavaオブジェクトの逆シリアル化を利用するペイロードを生成する概念実証ツールです。 JMXでも動作します。

JMXを安全にする方法はありますか? 私はhttps://tersesystems.com/2015/11/08/closing-the-open-door-of-java-object-serialization/も読んでいます。私は私のプロジェクトでNotSoSerialを使用する方法を理解していません。

出典

2016-05-20 Benni

+0

あなたのプロジェクトにNotSoSerialを埋め込むことができるとは確信していません。しかし、アプリケーションを起動するときにJava Agentとして使用できます。 – Ilya

答えて

0

あなたは瓶を取り、コマンドラインに次の引数を指定してJVMを実行し、その後、githhubからプロジェクトを構築することにより、NotSoSerialを実行することができます。

-javaagent:notsoserial.jar -Dnotsoserial.whitelist=empty.txt

https://github.com/kantega/notsoserial#whitelisting-mode

に指定されているしたい場合JMXを使用するが、Java Serializationを使用するRMIを使用したくない場合は、jmxtransまたはJolokiaを参照し、そこを通過するJSONメッセージをロックする方法を確認してください。

出典

2016-05-24 18:32:00

関連する問題

 関連する問題