Я хотел бы оценить безопасность моего клиент-серверного приложения Spring, которое использует механизм SpringInvoker Spring для обмена данными. Я знаю, что в прошлом было устранено несколько уязвимостей, связанных с сериализацией Java, используемой HTTPInvoker, одной из наиболее заметных из которых является возможность выполнения произвольного кода при злонамеренном использовании java.lang.reflect.Proxy, см. http://wouter.coekaerts.be/2011/spring-vulnerabilities для подробного объяснения.
Исправления включали новый параметр, который отключает десериализацию прокси-классов, см. RemoteInvocationSerializingExporter#acceptProxyClasses. Насколько я понимаю, прокси-классы представляют серьезный риск для Java (де-) сериализации, и многие эксплойты полагаются на прокси-классы.
Каковы наиболее важные альтернативы прокси-классам, которые злоумышленник должен использовать для использования уязвимостей в HTTPInvoker и его базовом механизме сериализации Java в этом сценарии? Существуют ли какие-либо серьезные уязвимости, такие как использование прокси-классов, которые я должен иметь на своем радаре?
Буду признателен за любые подсказки. Спасибо.