JEP 290 初识
JEP 290 初识
- 全局过滤器
- 自定义过滤器
- 内置过滤器
JEP 290是 oracle提供已一套JAVA反序列化机制,其并不是一种必须被强制执行的策略,而是需要程序员或者运维人员进行开发与启用。关于该机制的优缺点借用老外的一篇文章
https://dzone.com/articles/a-first-look-into-javas-new-serialization-filterin
中文版可以参考
https://blog.csdn.net/caiqiiqi/article/details/104270776
该机制提供了三种防御策略,分别是全局过滤器、自定义过滤器以及内置过滤器
全局过滤器
该过滤器可以通过三种方法进行启用,
- 启动应用时通过指定参数
-Djdk.serialFilter=<白名单类1>;<白名单类2>;!<黑名单类>
- 设置环境变量
$JAVA_HOME/jre/lib/security/java.security
- 启动时指定策略文件
-Djava.security.properties=<黑白名单配置文件名>
关于java.security文件提供了主要提供了两种策略,一种是限制类调用的深度与数量,二是通过黑白名单进行限制
自定义过滤器
程序员可在编码是使用ObjectInputStreamFilter
指定反序列化黑白名单
ObjectInputFilter filesOnlyFilter = ObjectInputFilter.Config.createFilter("de.mogwailabs.Example;!*");
内置过滤器
其实第一张图里面就是一些内置过滤器,当然截图不全,如果要启动去掉注释即可
JEP 290 初识相关推荐
- java 反序列化 ysoserial exploit/JRMPClient 原理剖析
目录 0 前言 1 payloads/JRMPListener 1.1 payload生成 1.2 gadget链分析 2 使用RMIRegistryExploit攻击上述开启的监听 3 exploi ...
- Log4j2漏洞发展历程及解决方案
背景 最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了.同时也涌现出了各类分析文章,关于漏洞的版本.漏洞的原因.漏洞的修复.程序员因此加班等等. 经常看我文章的朋友都知道,面对这样热门有意思的技 ...
- JDK19都出来了~是时候梳理清楚JDK的各个版本的特性了【JDK17特性讲解】
JDK各个版本特性讲解-JDK17特性 一.JAVA17概述 JDK 16 刚发布半年(2021/03/16),JDK 17 又如期而至(2021/09/14),这个时间点特殊,蹭苹果发布会的热度 ...
- how-I-hacked-Facebook-again-unauthenticated-RCE-on-MobileIron-MDM笔记
参考:https://devco.re/blog/2020/09/12/how-I-hacked-Facebook-again-unauthenticated-RCE-on-MobileIron-MD ...
- Java平台,标准版Oracle JDK 9中的新功能
Java平台,标准版 Oracle JDK 9中的新增功能 版本9 E77563-05 2017年9月 JDK 9中的新功能概述 Java Platform,Standard Edition 9是一个 ...
- Java RMI反序列化/JEP290相关
RMI 远程过程调用 (Remote Procedure Call)是一种服务器-客户端模式, Java的RMI(Remote Method Invocation)是一种RPC实现. 其基本思想是程序 ...
- JDK9-17新特性
文章目录 环境准备 JAVA9 概述 一 语法层次的改变 1_钻石操作符号语法升级 2_try结构语法升级 3_下划线命名标识符的使用限制 二 API层次的改变 1_接口中的私有方法 2_String ...
- 1.第一章 Java基础语法 第一节(一)初识java
初识java 1.java的发展史 1.1.起源 1.2.演变 2.Java体系与特点 2.1java的体系 2.2java的应用 2.3java的特性 3.JVM,JDK,JRE与GC 3.1jav ...
- 初识 MySQL 数据库
初识 MySQL 数据库 引言 一.MySQL 数据库 二.MySQL 服务器的结构 三.数据库行和列的概念 四.SQL 语句 五.数据库操作 1. 显示数据库 2. 创建数据库 3. 选中数据库 4 ...
- day3----编码-集合-深浅copy-文件操作-函数初识
day3----编码-集合-深浅copy-文件操作-函数初识 本文档主要内容: 一 编码 二 集合 三 深浅copy 四 文件操作 五 函数初识 首先,我们来看看两个字符串的比较 打开cmd,进入do ...
最新文章
- python画有权重网络图_python networkx 根据图的权重画图实现
- linux systemd 服务管理脚本简介
- CentOS 6.3开机自动挂载磁盘和文件夹
- 蓝桥杯-队列操作(java)
- 织梦首页html在哪儿,dedecms织梦首页去index.html
- 可怕!微软AI:一张面部照片一段音频,完美生成头像演讲视频
- 什么是 Python 自省?
- python 两点曲线_python机器学习分类模型评估
- Webservice学习之——即时发布与定制发布
- 作业 20181016-1 Alpha阶段贡献分配规则
- 时间序列(一):时间序列数据与时间序列预测模型
- C++ +GDAL计算遥感影像植被指数
- ipython 安装
- 【渝粤题库】陕西师范大学165104 组织行为学原理 作业(高起专)
- cocos2d音效设置
- 6 errors and 0 warnings potentially fixable with the `--fix` option.
- java获取京东token_京东宙斯平台使用方法(accesstoken,appkey,appsecret参数和SDK的获取)...
- 共享租车平台“车便利租车”完成A轮融资
- Tcp/Udp端口对照表
- Python 正则表达式+字符串分割(数字/字母/汉字/特殊字符)
热门文章
- linux安装mysql菜鸟教程_Linux安装mysql教程
- matlab的gaot在哪里,最权威遗传算法工具箱GAOT(gaot)安装方法
- eeprom和编程器固件 k2_斐讯K2编程器刷breed换固件小白教程
- DSP 基于 TMS320F2803x 的 I2C 上的 PMBus 的软件应用
- 软考资料合集/软考真题合集(软件设计师/网络工程师/系统分析师/系统架构师/软件测评师/程序员等)
- 移动html5 滑动 zepto,移动端使用zepto编写的滑动事件
- 【产品】产品经理手册
- AD18的安装教程(包括资料)
- (7)雅思屠鸭第七天:阅读中538个考点词一网打尽
- ai人工智能让女神_让女孩进入人工智能管道