[Web 安全] 反序列化漏洞 - 学习笔记

关注这个专栏的其他相关笔记:[Web 安全] Web 安全攻防 - 学习手册-CSDN博客

0x01:反序列化漏洞 --- 漏洞介绍

反序列化漏洞是一种常见的安全漏洞,主要出现在应用程序将 序列化数据 重新转换为对象(即反序列化)的过程中,在讲解这个漏洞前,我们先了解一下什么是 序列化 & 反序列化

  • 序列化: 序列化就是将对象的状态信息转换为可以存储或传输的形式的过程。

  • 反序列化: 将序列化后的数据还原为原始对象的过程。

0x0101:反序列化漏洞原理

当程序反序列化不可信的输入数据 时,若未严格校验数据合法性,攻击者就可能构造恶意数据,诱使程序执行非预期操作,例如:

  • 执行任意代码: 反序列化时触发对象中的危险方法(如 Java 的 readObject、PHP 的 __wakeup

  • 篡改数据逻辑: 修改序列化数据中的关键参数(如用户权限、身份标识)。

  • 拒绝服务攻击: 通过构造畸形数据导致程序崩溃。

0x0102:反序列化漏洞防御措施

  1. 避免反序列化不可信数据:优先使用 JSON 等安全格式传输数据。

  2. 白名单验证:仅允许反序列化预定义的合法类。

  3. 数据签名/加密:验证序列化数据的完整性和来源。

  4. 更新依赖库:修复已知漏洞的第三方组件(如Java的Apache Commons Collections)。

0x02:反序列化漏洞 --- PHP 反序列化漏洞

0x0201:PHP 反序列化漏洞 --- 基础知识

0x0202:PHP 反序列化漏洞 --- 挖掘思路

  • PHP 反序列化漏洞 ------ PHP 魔法方法 & POP 链构造思路

  • PHP 反序列化漏洞 ------ WAF 绕过姿势

0x0202:PHP 反序列化漏洞 --- 漏洞举例

0x0203:PHP 反序列化漏洞 --- 实战笔记

0x03:反序列化漏洞 --- Java 反序列化漏洞

0x04:反序列化漏洞 --- Python 反序列化漏洞

相关推荐
汇能感知4 分钟前
光谱相机的光谱数据采集原理
经验分享·笔记·科技
人人题27 分钟前
汽车加气站操作工考试答题模板
笔记·职场和发展·微信小程序·汽车·创业创新·学习方法·业界资讯
小脑斧爱吃鱼鱼42 分钟前
鸿蒙项目笔记(1)
笔记·学习·harmonyos
阿linlin43 分钟前
OpenCV--图像预处理学习01
opencv·学习·计算机视觉
nixiaoge1 小时前
RCE漏洞
网络安全
张张张3122 小时前
4.2学习总结 Java:list系列集合
java·学习
SuperW2 小时前
linux课程学习二——缓存
学习
禾木KG2 小时前
网络安全-等级保护(等保) 1-0 等级保护制度公安部前期发文总结
网络安全
网络抓包与爬虫2 小时前
Wireshark——抓包分析
websocket·网络协议·tcp/ip·http·网络安全·https·udp
lulinhao2 小时前
HCIA/HCIP基础知识笔记汇总
网络·笔记