关于反序列化漏洞

Posted 烤红薯咖啡馆

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于反序列化漏洞相关的知识,希望对你有一定的参考价值。

0x00 关于序列化和反序列化

  在了解反序列化漏洞之前需要先了解序列化和反序列化。

  序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。

  把字节序列恢复为对象的过程称为对象的反序列化。

0x01 关于概述反序列化漏洞

  由于把字节序列恢复为对象,并且没有限制恢复对象的类型。攻击者可以传入恶意的字节序列,通过反序列化,恢复成对象,并调用其它函数。如果调用命令执行的函数可能会导致命令执行。>_<

0x02 有深入研究后再继续写

以上是关于关于反序列化漏洞的主要内容,如果未能解决你的问题,请参考以下文章

关于Shiro反序列化漏洞的延伸—升级shiro也能被shell

阿尔法实验室关于Java反序列化漏洞技术分析

网络安全预警通报关于Apache Solr反序列化远程代码执行漏洞的预警通报

浅谈php反序列化漏洞

反序列化漏洞-02PHP反序列化漏洞实验详解

CTF PHP反序列化漏洞