什么是JEP

JDK Enhancement Proposal，JDK改善方案，是JDK增强提议的一个项目。

什么是JEP290

主要描述的是Filter Incoming Serialization Data，过滤传入的序列化数据。JEP290是Java底层为了缓解反序列化攻击提出的一种解决方案

适用范围

JDK6u141、JDK7u131、JDK8u121

作用

• 提供一个限制反序列化类的机制，白名单或者黑名单
• 限制反序列化的深度和复杂度
• 为RMI远程调用对象提供了一个验证类的机制
• 定义一个可配置的过滤机制，比如可以通过配置 properties文件的形式来定义过滤器

设置方式

• 通过setObjectInputFilter来设置filter
• 通过conf/security/java.properties文件进行配置

RMI Registry和DGC内置过滤器

环境：JDK8u192

在此Java环境下运行RMIRegistryExploit.java来从服务端攻击注册中心，会导致报错

抛出了一个InvalidClassException异常，非法类。filter status: REJECTED，REJECTED表示拒绝。

来看看注册中心的创建