這幾天，只要你擺渡“Java”、“反序列化漏洞”等關(guān)鍵詞，有關(guān)【java反序列化漏洞——2015年被低估的“破壞之王”】、【一個(gè)被嚴(yán)重忽略了的漏洞】等標(biāo)題就赫然出現(xiàn)。

這不是危言聳聽?。。?/p>

2015年最為被低估的，具有巨大破壞力的漏洞浮出水面！該漏洞會(huì)將數(shù)以千計(jì)的Java應(yīng)用程序及服務(wù)器置于遭到遠(yuǎn)程代碼攻擊的危險(xiǎn)處境中。

(一) Java程序員們，你是否在使用以下應(yīng)用服務(wù)器

JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10

JBoss AS (Wildly) 6 and earlier

JBoss A-MQ 6.2.0

JBoss Fuse 6.2.0

JBoss SOA Platform (SOA-P) 5.3.1

JBoss Data Grid (JDG) 6.5.0

JBoss BRMS (BRMS) 6.1.0

JBoss BPMS (BPMS) 6.1.0

JBoss Data Virtualization (JDV) 6.1.0

JBoss Fuse Service Works (FSW) 6.0.0

JBoss Enterprise Web Server (EWS) 2.1,3.0

這些，是java反序列化漏洞已確定的影響范圍。

(二) Java程序員們，你的Lib目錄下是否有這個(gè)JAR包

Apache-commons-collections

也要注意了，因?yàn)橐呀?jīng)有人用它造成了代碼執(zhí)行漏洞。

然而簡(jiǎn)單了解以上是遠(yuǎn)遠(yuǎn)不夠的！

此刻，你需要的是實(shí)際操作！

猛戳這里在線體驗(yàn)java反序列化漏洞

via 合天網(wǎng)安實(shí)驗(yàn)室