所以我一直在想是否有一种方法可以发送一个 XML,使得 XML 包含(字节码)中的代码,这些代码将被 JVM 无意中执行。我正在使用 java,所以我认为未编译的代码将无法工作。我想我需要在 XML 中注入(inject)字节码来欺骗 JVM?我想尝试确保我正在构建的 Web 服务是安全的。我将 JAXB 用于 xml 编码解码,并将 Jersey 用作 Web 服务处理程序。
最佳答案
无意中?我不这么认为。
JAXB 编码器会将 XML 值反序列化为给定对象的状态,但类及其行为将由您决定。我没有看到在 XML 中发送原始字节码并用它做任何有害的事情。
您可以发送 Java 对象可以使用 Rhino 执行的 JSON 对象,但这并非无意。
您的服务可能存在其他安全问题,但 Java 字节码注入(inject)攻击不是其中之一。
无论如何,您应该在绑定(bind)之前验证发送给您的所有数据。
关于java - 出于有害目的在 XML 中注入(inject) Java 字节码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6380263/