Xstream反序列化远程代码执行漏洞深入分析
0. 前言
Xstream是java中一个使用比较广泛的XML序列化组件,本文以近期Xstream爆出的几个高危RCE漏洞为案例,对Xstream进行分析,同时对POC的构成原理进行讲解
1. Xstream简介
XStream是一个简单的基于Java库,Java对象序列化到XML,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。
Xstream具有以下优点
- 使用方便 – XStream的API提供了一个高层次外观,以简化常用的用例。
- 无需创建映射 – XStream的API提供了默认的映射大部分对象序列化。
- 性能 – XStrea[......]