首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Liferay Portal Json Web Service 反序列化漏洞(CVE-2020-7961)

Liferay Portal对于JSON Web Service的处理,在6.1、6.2版本中使用的是 Flexjson库,在7版本之后换成了Jodd Json。...总结起来该漏洞就是:Liferay Portal提供了Json Web Service服务,对于某些可以调用的端点,如果某个方法提供的是Object参数类型,那么就能够构造符合Java Beans的可利用恶意类...01 JODD序列化与反序列化 参考官方使用手册,先看下JODD的直接序列化与反序列化: TestObject.java package com.longofo; import java.util.HashMap...// Context context = new InitialContext(); // context.lookup(jndiName); } } Test.java...References https://codewhitesec.blogspot.com/2020/03/liferay-portal-json-vulns.html http://flexjson.sourceforge.net

1.4K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Java技术体系------JDK、 JRE、 Java ME 、 Java SE 、Java EE

    ,Sun官方所定义的Java技术体系包括: Java程序设计语言 JavaAPI类库 运行于各个硬件平台上的虚拟机 Class文件格式 商业机构和开源社区的第三方Java类库 JDK:   包括Java...程序设计语言、JavaAPI类库、运行于各个硬件平台上的虚拟机,JDK是用于支持Java程序开发的最小环境; JRE: Java API类库中的Java SE API子集和Java虚拟机这两部分统称为...JRE与JDK的区别: JRE顾名思义是java运行时环境,包含了java虚拟机,java基础类库。是使用java语言编写的程序运行所需要的软件环境,是提供给想运行java程序的用户使用的。...JDK顾名思义是java开发工具包,是程序员使用java语言编写java程序所需的开发工具包,是提供给程序员使用的。...Java SE: 支持面向桌面级应用的JAVA平台,提供了完整的Java核心API,这个版本以前称为J2SE。

    2.4K41

    Java(6)-java线程

    多线程是 Java 语言的一个很重要的特征。 多线程程序设计最大的特点就是能够提高程序执行效率和处理速度。Java 程序可同时并行运行多个相对独立的线程。...Java 提供的多线程机制使一个程序可同时执行多个任务。线程有时也被称为小进程,它是从一个大进程里分离出来的小的独立的线程。由于实现了多线程技术,Java 显得更健壮。...程序与程序ThreadDemo1.java表面上看运行结果相同,但是仔细对照会发现,程序OnlyThread.java中对 run方法的调用在程序ThreadDemo1.java中变成了对 start...也就是说看java是运行在什么操作系统上,java这个应用程序进程的线程调度算法就是什么。...Java SE 还声明JVM可以任何方式实现线程的优先级,甚至忽略它的存在。 3、在Linux上Java线程一对一地映射到内核级线程上。

    3K21

    JavaJava特点

    1.简单 Java最初是为对家用电器进行集成控制而设计的一种语言,因此它必须简单明了。Java语言的简单性主要体现在以下三个方面: Java的风格类似于C++,因而C++程序员是非常熟悉的。...而在Java语言中, Java自带的虚拟机很好地实现了跨平台性。 Java源程序代码经过编译后生成二进制的字节码是与平台无关的,但是可被Java虚拟机识别的一种机器码指令。...Java自已操纵内存减少了内存出错的可能性。Java还实现了真数组,避免了覆盖数据的可能。这些功能特征大大缩短了开发Java应用程序的周期。...但JAVA编译器就不同了。JAVA编译器产生的目标代码(J-Code) 是针对一种并不 存在的CPU–JAVA虚拟机(JAVA Virtual Machine),而不是某一实际的CPU。...Java编译器本身就是用Java语言编写的。Java运算系统的编制依据POSIX方便移植的限制,用ANSIC语言写成。Java语言规范中也没有任何”同具体实现相关”的内容。

    1K30

    Java基础-初识Java

    Java为什么被发明? Green项目。 应用环境:像电视盒这样的消费类电子产品 要求:语言本身是中立的,也就是跨平台 Java的发明人?...2006年,J2SE 6.0 (1.6.0) Mustang野马.此时,Java的各种版本被更名,取消其中的数字"2": J2EE更名为Java EE, J2SE更名为Java SE,J2ME更名为Java...Sun是一家极具创新能力的公司, 但是没能利用Java构建一个强有 力、可变现的生态系统,没打好Java这张牌。...2008年金融危机给sun公司致命的打击 2009年4月20日甲骨文以现金收购Sun微系统公司,交易价格达74亿美元 Java三大版本 J2SE Java的标准版本 (Java2 Standard...此时,Java的各种版本被更名,取消其中的数字"2": J2EE更名为Java EE, J2SE更名为Java SE,J2ME更名为Java ME

    1.3K21

    Java 回顾 ( Revisiting Java )

    最近在看一些工程代码,于是看了看设计模式,看设计模式之前发现Java是先修知识,又重新补了一遍Java,温故知新,获得一些新的体会。...本文不打算作为“Java知识点详细梳理”,“10分钟学会Java”之类的文章,仅作为博主自己的一个回顾,涉及的内容也无定法。...Java应该是目前用的最多的编程语言,以前觉得Java老要点点点(调用方法),变量名也很长,C++/Python很少代码写完的东西Java可能要写很多行…… 觉得挺麻烦的,不过Java风靡自有其风靡的理由...Java中最关键的概念是面向对象,面向对象最关键的东西就是类和对象,所有的Java程序都定义在类中,你不能像python那样,打开.py文件就开始写东西,就可以执行了,也不像C++,定义一个main函数即可运行...Reference *《Head First Java

    1.6K20

    Java 异常|Java Exceptions

    本文是对以下内容的分析:Java异常设计,Java异常可以告诉什么,以及如何使用Java异常。 Java Exceptions Java Exception 是为处理异常应用程序行为而创建的类。...在本文中,我将解释如何使用 Java Exception 类以及如何在考虑现有 Java Exceptions 设计的情况下创建异常结构。...Java 异常概念是 Java 中的重要里程碑之一,每个开发人员都必须知道它。...Java 异常结构的信息量比你想象的要多 Java 异常的结构非常有用,可以告诉开发人员一组重要的事情(如果开发人员正确使用此结构)。...Java错误 Java Error case 代表异常情况。一旦出现错误,应用程序可能会关闭。 Java异常 与错误不同,Java 异常有机会从问题中恢复应用程序并尝试保持应用程序运行。

    3.1K40
    领券