アカウント名:
パスワード:
本家のスレッド読むと、serialize/deserializeをコマンドラインから直接たたかない限りだ大丈夫とか、入力サニタイズすればいいだけとか言ってるように見えるんだけど、実際どうなん?
コード立証ページも、立証というより放置されたことへの腹いせ感情論な感じがするし。そりゃApache Commonは使ってるところ多いだろうけどさ。
RPCやクッキーのような外部データをオブジェクトとして受け取る口があればcommons-collections.jarがクラスパスにあるだけで死ぬ。デシリアライズした時点で任意コードが実行されるので、バイト列に対してのサニタイズになるんでサニタイズは難しくて、デシリアライザをカスタマイズしてClassのリゾルブに制限かける形になると思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
これどうなん (スコア:1)
本家のスレッド読むと、serialize/deserializeをコマンドラインから直接たたかない限りだ大丈夫とか、入力サニタイズすればいいだけとか言ってるように見えるんだけど、実際どうなん?
コード立証ページも、立証というより放置されたことへの腹いせ感情論な感じがするし。
そりゃApache Commonは使ってるところ多いだろうけどさ。
Re:これどうなん (スコア:4, 参考になる)
RPCやクッキーのような外部データをオブジェクトとして受け取る口があればcommons-collections.jarがクラスパスにあるだけで死ぬ。
デシリアライズした時点で任意コードが実行されるので、バイト列に対してのサニタイズになるんでサニタイズは難しくて、
デシリアライザをカスタマイズしてClassのリゾルブに制限かける形になると思う。