反序列化漏洞产生原因?简单叙述?

针对于 web 反序列化漏洞的产生原理进行阐述

网络安全常见问题
回答·4
最热
最新
  • 在身份验证,文件读写,数据传输等功能处,在未对反序列化数据做加密和签名,加密密钥使用硬编码,使用不安全的反序列化架库或函数情况下,由于序列化数据可被用户控制,攻击者可以精心构造恶意的序列化数据传递给应用程序,在应用程序反序列化对象时执行攻击者构造的恶意代码,达到攻击者的目的。(度娘解析)
  • 进行序列化的时候导致执行恶意参数
  • 在进行序列化的时候,用户存在可控参数,魔法方法中有危险的函数。
  • 还不是反序列化没做好安全防护,才有漏洞