cjh 不安全的反序列化
不安全的反序列化
所谓序列化,就是将对象的状态信息以一定的规则编码成可以传输或存储的数据。通常情况下,序列化将存在于内存中的信息编码成一个字符序列。所谓反序列化,就是将序列化的数据恢复成对象,从而代码可以直接使用。
一些漏洞会造成软件将序列化的“数据”当做“代码”来执行,从而引发安全问题。
例如apache commons collections库的java反序列化漏洞,攻击者可以精心构造反序列化数据,出发漏洞达到执行任意命令的效果。
1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 不安全的反序列化
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 不安全的反序列化
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm