首页
社区
课程
招聘
[推荐]峰会预告 | Java Json 反序列化之殇
发表于: 2017-10-18 18:19 2166

[推荐]峰会预告 | Java Json 反序列化之殇

2017-10-18 18:19
2166


信息泄露?


服务器崩溃?


远程代码执行?


随着REST API的流行,Json的使用也越来越多,但是其中存在的安全问题却不容忽视,特别是由于反序列化导致的远程代码执行更是威力十足。


在此次看雪峰会演讲中,廖新喜将为大家阐述由Java Json库的反序列化特性导致的RCE。另外,还将以Fastjson举例说明,公布部分未公开的反序列化的payload、0day,并会对这些payload分类解读。


议题将涉及Gson,Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作,并分析其安全机制,从安全机制上发现其潜在的安全漏洞。


反序列化漏洞出来已有一段时间,前期的一些防御方案随着时间的推移不再有效,但是却广泛传播,本议题将从开发、运维的角度来,给出全面的建议,指出哪些防范方案不再有效,为什么是无效的,并进一步提出正确、可靠的防御方案,以防御此类安全问题。让更多的开发者对Java反序列化漏洞有更加透彻的理解,做好安全编码,做好安全防护,减少被黑客骚扰的机会。


那么该如何避免这些问题呢?


答案就在本次峰会揭晓!


廖新喜

廖新喜(xxlegend),绿盟科技网络安全攻防实验室安全研究员,擅长代码审计,Web漏洞挖掘,拥有丰富的代码审计经验,曾在Pycon 2015 China大会上分享Python安全编码。安全行业从业六年,做过三年开发,先后担任绿盟科技极光扫描器的开发和开发代表。目前专注于Web漏洞挖掘、Java反序列化漏洞挖掘。曾向RedHat、Apache、Amazon和Oracle提交多份漏洞报告。2016年网络安全周接受央视专访。《谁动了我的VIP账号?》


以开发会安全,以安全辅未来!

5 折门票火热抢购中

长 | 按 | 二 | 维 | 码 | 购 | 票

购票链接:https://www.bagevent.com/event/863807?bag_track=thread



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//