Spring の HTTPInvoker メカニズムを使用してデータを交換する Spring ベースのクライアント/サーバー アプリケーションのセキュリティを評価したいと考えています。HTTPInvoker で使用される Java シリアライゼーションに関するいくつかの脆弱性が過去に対処されたことを知っています。最も顕著なものの 1 つはjava.lang.reflect.Proxy、悪意のある方法で a が使用された場合に任意のコードが実行される可能性です。http://wouter.coekaerts を参照してください。詳細な説明については、be/2011/spring-vulnerabilitiesを参照してください。
修正には、プロキシ クラスの逆シリアル化を無効にする新しい設定が含まれていました。 を参照してくださいRemoteInvocationSerializingExporter#acceptProxyClasses。私の理解では、プロキシ クラスは Java の (デ) シリアル化に重大なリスクをもたらし、多くのエクスプロイトはプロキシ クラスに依存しています。
このシナリオで攻撃者が HTTPInvoker とその基盤となる Java シリアライゼーション メカニズムの脆弱性を悪用するために必要なプロキシ クラスの最も重要な代替手段は何ですか? 私のレーダーにあるはずのプロキシクラスを使用するのと同じくらい深刻な脆弱性はありますか?
ヒントをいただければ幸いです。ありがとう。