Dubbo反序列化漏洞复现分析

1.Dubbo框架简介Dubbo是⼀个⾼性能服务框架，致⼒于提供⾼性能和透明化的RPC远程服务调⽤⽅案，以及SOA服务治理⽅案，使得应⽤可通过⾼性能RPC实现服务的输出和输⼊功能，和Spring框架可以⽆缝集成。作为⼀个分布式服务框架，以及SOA治理⽅案，Dubbo其功能主要包括：1.⾼性能NIO通讯及多协议集2.成服务动态寻址与路由3.软负载均衡与容错4.依赖分析与服务降级具体看这篇⽂章：https://www.jianshu.com/p/0daf78e14dcf 2.CVE-2019-175641.漏洞简介Apache Dubbo⽀持多种协议，推荐官⽅使⽤Dubbo协议。Apache Dubbo HTTP协议中的⼀个反序列化漏洞（CVE-2019-17564），漏洞该主要原因的在于当Apache Dubbo启⽤HTTP协议之后，Apache Dubbo对HTTP数据处理不当：对数据编码、序列化、反序列化，利⽤Spring HTTP Invoker框 ………………………………