// 上面提到的 com.sun.rowset.JdbcRowSetImpl 就在黑名单中,即 com.sun. private String[]public Class<?> checkAutoType(String typeName,Class<?> expectClass) {if (typeName == null) {return null;}final String className = typeName.replace('$','.');if (autoTypeSupport || expectClass != null) {for (int i = 0; i < acceptList.length; ++i) {String accept = acceptList[i];if (className.startsWith(accept)) {return TypeUtils.loadClass(typeName,defaultClassLoader);}}for (int i = 0; i < denyList.length; ++i) {String deny = denyList[i];// 类名中只要包含了黑名单中的任何对象,直接抛异常,宁可错杀不可放过if (className.startsWith(deny)) {throw new JSONException("autoType is not support. " + typeName);}}}...... } 总结如下展示了2018年收录漏洞按利用方式统计图与2020年CNVD漏洞产生原因图 。
文章插图
文章插图
可见漏洞利用的攻击方式分为:本地攻击和远程攻击 。
其中远程攻击占比约为89%,本地攻击约占11%,由此可见远程攻击是主要的漏洞攻击的手段,也是需要主要防范的漏洞攻击手段,并且大部分漏洞的产生原因都是设计错误导致的 。(所以网络一片呼声希望高铁提供不使用 AutoType 的 FastJson,HH)
分析 Log4j2 的此次漏洞产生原因与修复方案是我们的一小步,希望各位都能写出没有bug的代码(厚颜无耻的说,我一直在写bug~_~)
____________________ < 神兽护体,永无bug! > --------------------^__^(oo)_______(__))/||----w ||||| 原文地址:http://netsecurity.51cto.com/art/202112/697355.htm
如果你觉的本文对你有帮助,麻烦点赞关注支持一下
推荐阅读
![[他人婚]被曝插足他人婚姻 《青你2》选手申冰退赛](https://img3.utuku.china.com/550x0/toutiao/20200326/5961a705-f613-40cd-b825-bc7656e59cfc.jpg)
- 复制粘贴,Excel中最复杂的功能之一,看完你会觉得以前都白学了
- 13个WPS表格小技巧,简单又实用,Excel用户看了都眼红
- 穿衣搭配|看一个女人是不是真的“贵气”,关键在这4点,并不是有钱就行
- 一文读懂Access数据库,从此不用Access数据库
- Python4要来了?快来看看Python之父怎么说
- 从啃PS到啃C4D,我的动态设计之路
- 国企岗位推荐,程序员求职速来看
- 如何从 Kafka 看 时间轮 算法设计
- 小白如何看出计算机操作系统是否开启勒索病毒危险端口
- 大学|高考生看过来!被名字耽误的好大学:仅过一本线也有机会