Dubbo审计记录
2023-09-11 18:43:36
黑白名单过滤机制
目前最新版中(3.2.5)的白名单位置在这:
1 | org.apache.dubbo.common.utils.DefaultSerializeClassChecker#loadClass0 |
内部集成的 Heassin2-lite 也会到这里来加载类。
不过很逆天的是,可以直接在包里看到黑白名单的明文:
但是还有一层过滤,在 checker 中:
1 | org.apache.dubbo.common.utils.DefaultSerializeClassChecker#loadClass |
即使过滤白名单,也有一个判断:
这里判断了,要么类是基本类型,要么他要继承 Serializable