关于反序列化漏洞

0x00 关于序列化和反序列化

  在了解反序列化漏洞之前需要先了解序列化和反序列化。

  序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。

  把字节序列恢复为对象的过程称为对象的反序列化。

0x01 关于概述反序列化漏洞

  由于把字节序列恢复为对象,并且没有限制恢复对象的类型。攻击者可以传入恶意的字节序列,通过反序列化,恢复成对象,并调用其它函数。如果调用命令执行的函数可能会导致命令执行。>_<

0x02 有深入研究后再继续写

posted @ 2017-06-29 19:09  米怀特  阅读(371)  评论(0编辑  收藏  举报