两处常见反序列化利用类的处理
k4n5ha0 opened this issue · 2 comments
k4n5ha0 commented
https://www.leavesongs.com/PENETRATION/commons-beanutils-without-commons-collections.html
https://www.anquanke.com/post/id/240706
通过这两篇文章中描述的新链问题,我认为反序列化黑名单可以增加:
java.util.PriorityQueue
java.util.Comparator
这两个类不太可能在业务场景下被反序列化
如果qa做出来存在兼容问题,这两者也可以放在 validate_stack_java 的 known 之中
我这里测了下没有问题,但是系统数量太少了,样本数不够
谢谢
CaledoniaProject commented
这个只能加到 transformer 那个算法里,你重新测试下
k4n5ha0 commented
java.util.PriorityQueue
可以加到 transformer 算法中