[Web 安全] 反序列化漏洞 - 学习笔记

关注这个专栏的其他相关笔记:[Web 安全] Web 安全攻防 - 学习手册-CSDN博客

0x01:反序列化漏洞 --- 漏洞介绍

反序列化漏洞是一种常见的安全漏洞,主要出现在应用程序将 序列化数据 重新转换为对象(即反序列化)的过程中,在讲解这个漏洞前,我们先了解一下什么是 序列化 & 反序列化

  • 序列化: 序列化就是将对象的状态信息转换为可以存储或传输的形式的过程。

  • 反序列化: 将序列化后的数据还原为原始对象的过程。

0x0101:反序列化漏洞原理

当程序反序列化不可信的输入数据 时,若未严格校验数据合法性,攻击者就可能构造恶意数据,诱使程序执行非预期操作,例如:

  • 执行任意代码: 反序列化时触发对象中的危险方法(如 Java 的 readObject、PHP 的 __wakeup

  • 篡改数据逻辑: 修改序列化数据中的关键参数(如用户权限、身份标识)。

  • 拒绝服务攻击: 通过构造畸形数据导致程序崩溃。

0x0102:反序列化漏洞防御措施

  1. 避免反序列化不可信数据:优先使用 JSON 等安全格式传输数据。

  2. 白名单验证:仅允许反序列化预定义的合法类。

  3. 数据签名/加密:验证序列化数据的完整性和来源。

  4. 更新依赖库:修复已知漏洞的第三方组件(如Java的Apache Commons Collections)。

0x02:反序列化漏洞 --- PHP 反序列化漏洞

0x0201:PHP 反序列化漏洞 --- 基础知识

0x0202:PHP 反序列化漏洞 --- 挖掘思路

  • PHP 反序列化漏洞 ------ PHP 魔法方法 & POP 链构造思路

  • PHP 反序列化漏洞 ------ WAF 绕过姿势

0x0202:PHP 反序列化漏洞 --- 漏洞举例

0x0203:PHP 反序列化漏洞 --- 实战笔记

0x03:反序列化漏洞 --- Java 反序列化漏洞

0x04:反序列化漏洞 --- Python 反序列化漏洞

相关推荐
合作小小程序员小小店8 分钟前
web渗透之指纹识别1
物联网·计算机网络·网络安全·网络攻击模型
特种加菲猫1 小时前
指尖上的魔法:优雅高效的Linux命令手册
linux·笔记
wuxuanok2 小时前
Web后端开发-分层解耦
java·笔记·后端·学习
2501_915918412 小时前
接口漏洞怎么抓?Fiddler 中文版 + Postman + Wireshark 实战指南
websocket·网络协议·tcp/ip·http·网络安全·https·udp
wuxuanok2 小时前
Web后端开发-请求响应
java·开发语言·笔记·学习
i7i8i9com3 小时前
后端微服务基础架构Spring Cloud
学习
诗句藏于尽头3 小时前
内网使用rustdesk搭建远程桌面详细版
笔记
蜡笔小电芯3 小时前
【C语言】指针与回调机制学习笔记
c语言·笔记·学习
丰锋ff3 小时前
瑞斯拜考研词汇课笔记
笔记
网硕互联的小客服4 小时前
未来趋势:AI与量子计算对服务器安全的影响
运维·服务器·网络·网络安全·量子计算