0x00 关于序列化和反序列化
在了解反序列化漏洞之前需要先了解序列化和反序列化。
序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。
把字节序列恢复为对象的过程称为对象的反序列化。
0x01 关于概述反序列化漏洞
由于把字节序列恢复为对象,并且没有限制恢复对象的类型。攻击者可以传入恶意的字节序列,通过反序列化,恢复成对象,并调用其它函数。如果调用命令执行的函数可能会导致命令执行。>_<
在了解反序列化漏洞之前需要先了解序列化和反序列化。
序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。
把字节序列恢复为对象的过程称为对象的反序列化。
由于把字节序列恢复为对象,并且没有限制恢复对象的类型。攻击者可以传入恶意的字节序列,通过反序列化,恢复成对象,并调用其它函数。如果调用命令执行的函数可能会导致命令执行。>_<