组件漏洞 - XStream反序列化
漏洞描述
安全编码
XStream是一个简单的基于Java库,Java对象序列化到XML,历史上存在多个反序列化漏洞。
方案一、对于第三方依赖组件,需要及时更新版本 方案二、1.4.10后可启用默认安全配置,setupDefaultSecurity
运行
漏洞代码
public String vul(@RequestBody String content) { XStream xs = new XStream(); xs.fromXML(content); return "XStream Vul"; }
运行
安全代码
public String vul(@RequestBody String content) { XStream xs = new XStream(); // 修复:1.4.10后可用,启用默认安全配置 XStream.setupDefaultSecurity(xs); xs.fromXML(content); return "XStream Safe"; }