ZDRES-232: resolveProxyClass Не переопределенный - принять Обход фильтра Матчера через java.lang.reflect.Proxy Оценка: Полностью рассмотрен…
ZDRES-232: resolveProxyClass Не переопределенный - принять Обход фильтра Матчера через java.lang.reflect.Proxy Оценка: Полностью рассмотрена. Когда сериализованный поток содержит TC_PROXYCLASSDESC (маркер для java.lang.reflect.Proxy ), JDK's ObjectInputStream.readProxyDesc() является отправлено. JDK тогда называет дефолт Реализация ObjectInputStream.resolveProxyClass(интерфейсы), которая выполняет Class.forName(intf, false, latestUserDefinedLoader()) для КАЖДЫМ имя интерфейса и конструктируется класс прокси-сервера - в обход принятого Список классов. ZDRES-233: Class.forName(именное, инициализировать=правду, классПогрузчик) в readClassDescriptor запускает статический инициатор разрешенных классов Оценка: Полностью рассмотрена. Для ЛЮБОЙ класса в разрешительном списке, дезеризация потока, который называет его, запускает класс (статический инициализатор) До того, как будет построен любой экземпляр. Это означает, что злоумышленник, который удерживает название класса в разрешительном списке (например, разработчик написал принять («com.myapp.*») , злоумышленник поставки com.myapp.SomeClass ) вызывает <clinit> SomeClass » и многие реальные классы имеют боковые статическими риталиперами Оба вопроса были решены.
Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →