2017年反序列化漏洞年度报告分析了2017年绿盟科技处理的漏洞应急中反序列化漏洞的情况。报告指出,2017年出现的反序列化漏洞和以往反序列漏洞在漏洞形成方式上有所不同,主要是由于Java自身的反序列特征导致的漏洞,以及依赖于第三方组件,如fastjson,Jackson等。报告还回顾了2017年绿盟科技重点应急的反序列化漏洞,包括Fastjson,Jackson,Log4j2,Jenkins,Struts2,Weblogic,XMLDecoder和XStream等。报告指出,反序列化漏洞是由于反序列化过程中调用相应的setter方法和getter方法从而导致远程代码执行。报告还提到了反序列化漏洞的发展和攻击方和防御方的对抗过程,以及bypass和反bypass在这个过程中体现得淋漓尽致。
