标签：状态   命令   serial   存储   style   ati   攻击   序列化   size   

0x00 关于序列化和反序列化

　　在了解反序列化漏洞之前需要先了解序列化和反序列化。

　　序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。

　　把字节序列恢复为对象的过程称为对象的反序列化。

0x01 关于概述反序列化漏洞

　　由于把字节序列恢复为对象，并且没有限制恢复对象的类型。攻击者可以传入恶意的字节序列，通过反序列化，恢复成对象，并调用其它函数。如果调用命令执行的函数可能会导致命令执行。>_<

0x02 有深入研究后再继续写

关于反序列化漏洞

标签：状态   命令   serial   存储   style   ati   攻击   序列化   size   

原文地址：http://www.cnblogs.com/MiWhite/p/7095990.html