JBoss Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循商业友好的LGPL许可，并且由开源社区开发，其良好的运行效率和安全性能使其广为流行。

JBoss安全更新时会伴随漏洞通告，JBOSS厂商发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞的通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，导致恶意访问者通过精心设计的序列化数据执行任意代码。但近期有安全研究者发现JBossAS 6.x也受该漏洞影响，恶意访问者利用该漏洞无需用户验证即可获得服务器的控制权。该漏洞的细节和验证代码已公开，为避免造成损失，建议及时修复升级至JBossAS 7版本。

本节课i春秋讲师复现了此漏洞的场景，分析了漏洞的成因，希望同学们了解漏洞原理，学习该漏洞利用技术，及时做好版本升级和安全防护。还在等什么，赶快点击课程开始实验吧！