合集-反序列化

摘要：# PHP反序列化漏洞 序列化和反序列化本身是为了实现数据在网络上完整高效的传输，但是由于反序列化过程中，对象的魔术方法会自动调用，魔术方法本身调用了别的方法，最终呈现一种链式调用，直到执行任意的代码或者命令。 ### 序列化与反序列化 seriallization 序列化:将对象转化为便于传输的格 阅读全文

摘要：## java反序列化漏洞 JAVA反序列化漏洞是由于开发者重写了readObject方法，该readObject方法方法调用了别的方法，最终执行到了例如Transfrom方法的危险方法 #### java序列化过程： 调用一个函数进行序列化，存放到一个文件内，再将文件反序列化回来，涉及到文件的读写 阅读全文

摘要：# Fastjson反序列化漏洞 fastjson是阿里巴巴公司推出的一个用于快速处理json数据的java类库，这个库由于在传输json数据的时候，中间有一个标识，这个标识允许用户传入一个类名，因此攻击者可以传入他想要执行的类，通过执行这个类，调用rmi方法，去执行他部署的一个恶意方法 ## js 阅读全文