Java デシリアライゼーション攻撃に関する最近のFoxglove Security の記事には、Spring アプリや Groovy アプリだけでなく、主要なアプリ サーバーを対象とするサンプル コードへのリンクが含まれており、多くの驚きをもたらしています。この記事では、認証チェックが行われる前にオブジェクトのペイロードが逆シリアル化されるため、これらのエクスプロイトは認証をバイパスすると述べています。ただし、Spring HttpInvoker について具体的に名前を付けたり、説明したりしていません。これに関する明確な声明を他の場所で見つけることができませんでした。
Spring HttpInvoker を介して公開されたリモート サービスの場合、基本認証で Spring Security を使用すると、(潜在的に悪意のある) オブジェクト ペイロードが逆シリアル化される前に認証チェックが実行されますか? それとも、「認証はこの攻撃からあなたを保護しない」という記事の主張は、HttpInvoker サービスにも当てはまるのでしょうか?