摘要
本发明涉及一种Java反序列化漏洞防御方法及系统,属于计算机技术领域,该方法包括:获取程序中的一个或多个反序列化点;根据反序列化点生成对象所属的类确定根节点,并基于根节点构建反序列化点对应的语义结构树;基于遍历语义结构树,根据语义结构树中每个节点对应的类和每个节点与对应父节点连接边的属性,确定语义结构树的白名单列表;将白名单列表作为配置文件导入至Java探针中,基于Java探针校验程序执行的反序列化操作。该方法可自动确定语义结构树和白名单列表,无需人工制定,且可以准确地识别合法的反序列化操作,减少误报和漏报的情况,提升了防御的可靠性。
