SCW图标
感谢您下载!
更多资源
英雄背景无分隔线
博客

修补反序列化漏洞的困难

皮特-德-克雷默
发表于 2017 年 9 月 11 日
最后更新于 2026年3月9日
应用程序安全
安全编码技术
开发人员培训
播放视频按钮。
播放视频按钮。

上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布明确记录了这一漏洞。

只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。

然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!

解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。

你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

查看资源
查看资源

该漏洞与 Struts 如何解析此类数据并将其转换为 Java 编程语言可以解释的信息有关。

对更多感兴趣?

应用安全研究员-研发工程师-博士生

了解更多

Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。

预约演示
分享到:
领英品牌社交x 标志
作者
皮特-德-克雷默
发表于2017年9月11日

应用安全研究员-研发工程师-博士生

分享到:
领英品牌社交x 标志
播放视频按钮。
播放视频按钮。

上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布明确记录了这一漏洞。

只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。

然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!

解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。

你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

查看资源
查看资源

填写下面的表格下载报告

我们希望获得您的许可,以便向您发送有关我们的产品和/或相关安全编码主题的信息。我们将始终非常谨慎地对待您的个人信息,绝不会出于营销目的将其出售给其他公司。

提交
scw 成功图标
SCW 错误图标
要提交表单,请启用“分析”Cookie。完成后,可以随意再次禁用它们。
播放视频按钮。
播放视频按钮。

上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布明确记录了这一漏洞。

只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。

然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!

解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。

你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

观看网络研讨会
开始吧
了解更多

点击下面的链接并下载此资源的PDF。

Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。

查看报告预约演示
下载PDF
查看资源
分享到:
领英品牌社交x 标志
对更多感兴趣?

分享到:
领英品牌社交x 标志
作者
皮特-德-克雷默
发表于2017年9月11日

应用安全研究员-研发工程师-博士生

分享到:
领英品牌社交x 标志

上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布明确记录了这一漏洞。

只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。

然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!

解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。

你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

目录

下载PDF
查看资源
对更多感兴趣?

应用安全研究员-研发工程师-博士生

了解更多

Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。

预约演示下载
分享到:
领英品牌社交x 标志
资源中心

帮助您入门的资源

更多帖子

Trust Agent:AI - Secure and scale AI-Drive development

AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.

了解更多
Apr 1, 2026
A minimalist illustration showing a stack of three white papers. The top document has a folded top-right corner and horizontal blue lines representing text, over a smooth blue-to-pink gradient background.
单页传呼机
单页传呼机

OpenText 应用程序安全性的强大功能 + Secure Code Warrior

OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.

2026年3月23日
单页传呼机

Secure Code Warrior corporate overview

Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.

Mar 19, 2026
手册

安全代码培训主题与内容

我们行业领先的内容始终在不断发展,以适应不断变化的软件开发格局,同时考虑到您的角色。主题涵盖从人工智能到XQuery注入的所有内容,适用于从架构师和工程师到产品经理和质量保证等各种职位。按主题和角色先睹为快,了解我们的内容目录所提供的内容。

2026年3月11日
资源中心

帮助您入门的资源

更多帖子

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

了解更多
Mar 19, 2026
A blue promotional graphic for Secure Code Warrior’s "Enablers of Success Series." The text "Senior Leadership Sponsorship" is prominently featured in white. An illustration on the right shows a line of figures climbing an upward-sloping ramp, with the lead figure holding a flag. The Secure Code Warrior logo is in the top right corner.
博客
博客

Cybermon 回来了:打败老板 AI 任务现已按需提供

Cybermon 2025 打败老板现已在 SCW 中全年开幕。部落高级 AI/LLM 安全战,大规格模型强化安全 AI 开发。

2026年3月5日
博客

《网络弹性法》解读:通过设计实现软件开发安全意味着什么

了解《欧盟网络弹性法案》(CRA) 的要求、适用对象以及工程团队如何通过设计实践、漏洞预防和开发人员能力建设做好准备。

2026年2月24日
博客

推动因素 1:明确且可衡量的成功标准

Enabler 1 是我们由 10 部分组成的成功推动者系列的序幕,它展示了如何将安全编码与业务成果(例如降低风险和提高长期计划成熟度的速度)联系起来。

2026年2月19日