黑盒测试 | 挖掘.NET程序中的反序列化漏洞

文章预览

扫码领资料 获网安教程 来 Track安全社区投稿~   千元稿费！还有保底奖励~（https://bbs.zkaq.cn） 通过不安全反序列化漏洞远程执行代码 img 今天，我将回顾 OWASP 的十大漏洞之一：不安全反序列化，重点是 .NET 应用程序上反序列化漏洞的利用。 📝$ _序列化_与_反序列化 序列化 是将数据对象转换为 字节流的 过程，字节流可以存储在文件、内存和数据库中，或者通过网络、在应用程序的不同组件之间以及在 API 调用中发送。 反序列化 是相反的过程；它将流字节恢复到对象被序列化之前的原始状态。 不安全的反序列化 正在传递可被应用程序解释的受操纵的序列化对象，从而导致其控制。该漏洞的影响范围从拒绝服务攻击、绕过身份验证到任意代码执行。 与任何安全漏洞一样，核心问题是应用程序端缺乏对用户输入的验证，而应用程序端盲目信任发送 ………………………………