反序列化漏洞

反序列化漏洞

序列化和反序列化

序列化是指把对象转换为字节序列的过程,反序列化是指把字节序列恢复为对象的过程

作用

通过序列化,能将对象写入内存、文件或数据库,可以作为字节流发送和接收,通常序列化后的数据格式为json或xml格式

通过反序列化,将序列化数据或字节流恢复为原始对象的完整副本,实现其状态与序列化时完全相同

反序列化漏洞

反序列化漏洞的关键在于传输的数据可不可控,如果用户对数据可控,则攻击者能够构造恶意输入,就可以利用反序列化构造攻击

防御

避免对用户输入进行反序列化

使用数据签名来检查数据的完整性

网络安全反序列化漏洞漏洞

相关

永恒之蓝Ms17010漏洞 复现

红队笔记-编辑器漏洞合

简单了解WEB漏洞-XSS跨站

文件包含 漏洞

XSS 跨站脚本攻击 漏洞

CSRF 跨站请求伪造 漏洞

泛微 e-cology OA 前台SQL注入漏洞

文件上传、下载漏洞解析及靶场复现

墨者学院-SQL手工注入漏洞测试(Oracle数据库)

墨者学院-SQL手工注入漏洞测试(Oracle数据库)

简单了解WEB漏洞-CSRF及SSRF漏洞

域渗透之MS14-068域提权漏洞

标签