[Web 安全] 反序列化漏洞 - 学习笔记

关注这个专栏的其他相关笔记:Web 安全 Web 安全攻防 - 学习手册-CSDN博客

0x01:反序列化漏洞 --- 漏洞介绍

反序列化漏洞是一种常见的安全漏洞,主要出现在应用程序将 序列化数据 重新转换为对象(即反序列化)的过程中,在讲解这个漏洞前,我们先了解一下什么是 序列化 & 反序列化

  • 序列化: 序列化就是将对象的状态信息转换为可以存储或传输的形式的过程。

  • 反序列化: 将序列化后的数据还原为原始对象的过程。

0x0101:反序列化漏洞原理

当程序反序列化不可信的输入数据 时,若未严格校验数据合法性,攻击者就可能构造恶意数据,诱使程序执行非预期操作,例如:

  • 执行任意代码: 反序列化时触发对象中的危险方法(如 Java 的 readObject、PHP 的 __wakeup

  • 篡改数据逻辑: 修改序列化数据中的关键参数(如用户权限、身份标识)。

  • 拒绝服务攻击: 通过构造畸形数据导致程序崩溃。

0x0102:反序列化漏洞防御措施

  1. 避免反序列化不可信数据:优先使用 JSON 等安全格式传输数据。

  2. 白名单验证:仅允许反序列化预定义的合法类。

  3. 数据签名/加密:验证序列化数据的完整性和来源。

  4. 更新依赖库:修复已知漏洞的第三方组件(如Java的Apache Commons Collections)。

0x02:反序列化漏洞 --- PHP 反序列化漏洞

0x0201:PHP 反序列化漏洞 --- 基础知识

0x0202:PHP 反序列化漏洞 --- 挖掘思路

  • PHP 反序列化漏洞 ------ PHP 魔法方法 & POP 链构造思路

  • PHP 反序列化漏洞 ------ WAF 绕过姿势

0x0202:PHP 反序列化漏洞 --- 漏洞举例

0x0203:PHP 反序列化漏洞 --- 实战笔记

0x03:反序列化漏洞 --- Java 反序列化漏洞

0x04:反序列化漏洞 --- Python 反序列化漏洞

相关推荐
一楼的猫23 分钟前
AI写作合规技术方案:平台检测机制分析与规避策略
人工智能·学习·机器学习·ai写作
四月天432 小时前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
网络与设备以及操作系统学习使用者2 小时前
相对论核心原理详解
学习·深度优先
疯狂打码的少年3 小时前
【操作系统】虚拟存储管理(局部性原理、缺页中断)
笔记
NULL指向我3 小时前
TMS320F28379D笔记5:CAN通信多邮箱配置
笔记
菩提小狗4 小时前
每日安全情报报告 · 2026-07-04
网络安全·漏洞·cve·安全情报·每日安全
aaaameliaaa4 小时前
进制练习题【找出只出现一次的数字、交换两个变量(不创建临时变量)、统计二进制中1的个数、打印整数二进制的奇数位和偶数位、求两个数二进制中不同位的个数】
c语言·数据结构·笔记·算法
吃好睡好便好5 小时前
泰戈尔的诗歌7
学习·生活
-To be number.wan5 小时前
数据库系统 | 规范化理论
数据库·学习
RainCity5 小时前
Java Swing 自定义组件库分享(十三)
java·笔记·后端