Myfaces序列化视图状态字符串容易受到攻击,因此需要一些示例代码来测试myfaces 1.1对wildfly 10的不可信数据的反序列化。
答案 0 :(得分:2)
当在客户端保存模式下使用时,Myfaces Viewstates确实容易受到Java反序列化攻击。 Luca Carettoni在2008年利用并报告了Sun Java Web Console中的缺陷。然后,Sun决定将服务器端保存用于视图状态。
如果您能够使用服务器端保存模式,请使用以下上下文参数:
<context-param>
<param-name>javax.faces.STATE_SAVING_METHOD</param-name>
<param-value>client</param-value>
</context-param>
如果要继续使用客户端保存视图状态,请确保使用强算法加密和解密视图状态,方法是设置以下上下文参数,如myfaces wiki中所述。