未开启cookie无法登录使用i春秋的完整服务,请设置开启浏览器cookie

进入春秋云实企安殿 进入助教后台
课程库  >   知识体系   >   JBoss 反序列化漏洞   >   JBoss 反序列化漏洞

试看结束,请登录后观看完整视频

目录
实验
课件
关注(94
点赞(29
JBoss 反序列化漏洞
课程目录
课程讨论(0
CQ实验室
关注(19015
好评度
97%
课程节数
1232
课程信息

课程难度:初级

学习人数:49585

课程状态:已完结-共1节

时长:11分钟

课程介绍

JBoss Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循商业友好的LGPL许可,并且由开源社区开发,其良好的运行效率和安全性能使其广为流行。

JBoss安全更新时会伴随漏洞通告,JBOSS厂商发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞的通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致恶意访问者通过精心设计的序列化数据执行任意代码。但近期有安全研究者发现JBossAS 6.x也受该漏洞影响,恶意访问者利用该漏洞无需用户验证即可获得服务器的控制权。该漏洞的细节和验证代码已公开,为避免造成损失,建议及时修复升级至JBossAS 7版本。

本节课i春秋讲师复现了此漏洞的场景,分析了漏洞的成因,希望同学们了解漏洞原理,学习该漏洞利用技术,及时做好版本升级和安全防护。还在等什么,赶快点击课程开始实验吧!

课程目标
希望同学们了解JBoss 反序列化漏洞原理,学习该漏洞利用技术,及时做好版本升级和安全防护。
适合人群
网络安全爱好者,白帽子
课程标签

客户端安全

系统安全

JBoss 反序列化漏洞
×

课程评价×

课程与描述相符:非常满意

课程内容的价值:非常满意

老师讲解与表达:非常满意

为了提供倍速播放、断点续看、学习时长记录等功能,推荐您使用Chrome、Firefox浏览器,点击下载 Chrome Firefox

在线支付
请在新打开的页面完成支付

支付完成前请不要关闭本页面

支付完成