我的书签
添加书签
移除书签序列化安全审计
序列化安全审计
Dubbo 支持通过 QoS 命令实时查看当前的配置信息以及可信/不可信类列表。目前共支持两个命令:serializeCheckStatus 查看当前配置信息,serializeWarnedClasses 查看实时的告警列表。
serializeCheckStatus 命令
通过控制台直接访问:
> telnet 127.0.0.1 22222Trying 127.0.0.1...Connected to localhost.Escape character is '^]'.___ __ __ ___ ___ ____/ _ \ / / / // _ ) / _ ) / __ \/ // // /_/ // _ |/ _ |/ /_/ //____/ \____//____//____/ \____/dubbo>serializeCheckStatusCheckStatus: WARNCheckSerializable: trueAllowedPrefix:...DisAllowedPrefix:...dubbo>
通过 http 请求 json 格式结果:
> curl http://127.0.0.1:22222/serializeCheckStatus{"checkStatus":"WARN","allowedPrefix":[...],"checkSerializable":true,"disAllowedPrefix":[...]}
serializeWarnedClasses 命令
通过控制台直接访问:
> telnet 127.0.0.1 22222Trying 127.0.0.1...Connected to localhost.Escape character is '^]'.___ __ __ ___ ___ ____/ _ \ / / / // _ ) / _ ) / __ \/ // // /_/ // _ |/ _ |/ /_/ //____/ \____//____//____/ \____/dubbo>serializeWarnedClassesWarnedClasses:io.dubbo.test.NotSerializableio.dubbo.test2.NotSerializableio.dubbo.test2.OthersSerializableorg.apache.dubbo.samples.NotSerializabledubbo>
通过 http 请求 json 格式结果:
> curl http://127.0.0.1:22222/serializeWarnedClasses{"warnedClasses":["io.dubbo.test2.NotSerializable","org.apache.dubbo.samples.NotSerializable","io.dubbo.test.NotSerializable","io.dubbo.test2.OthersSerializable"]}
注意
建议及时关注 serializeWarnedClasses 的结果,通过返回结果是否非空来判断是否受到攻击。
最后修改 September 13, 2024: Refactor website structure (#2860) (1a4b998f54b)
