首页 > 代码库 > 关于反序列化漏洞
关于反序列化漏洞
0x00 关于序列化和反序列化
在了解反序列化漏洞之前需要先了解序列化和反序列化。
序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。
把字节序列恢复为对象的过程称为对象的反序列化。
0x01 关于概述反序列化漏洞
由于把字节序列恢复为对象,并且没有限制恢复对象的类型。攻击者可以传入恶意的字节序列,通过反序列化,恢复成对象,并调用其它函数。如果调用命令执行的函数可能会导致命令执行。>_<
0x02 有深入研究后再继续写
关于反序列化漏洞
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。