Dubbo审计记录
2023-09-11 18:43:36

黑白名单过滤机制

目前最新版中(3.2.5)的白名单位置在这:

1
org.apache.dubbo.common.utils.DefaultSerializeClassChecker#loadClass0

内部集成的 Heassin2-lite 也会到这里来加载类。

不过很逆天的是,可以直接在包里看到黑白名单的明文:

image-20230911190435811

但是还有一层过滤,在 checker 中:

1
org.apache.dubbo.common.utils.DefaultSerializeClassChecker#loadClass

即使过滤白名单,也有一个判断:

image-20230911190637380

这里判断了,要么类是基本类型,要么他要继承 Serializable

Prev
2023-09-11 18:43:36
Next