记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Python Pickle反序列化带来的安全问题

0x00 前言 数据序列化,这是个很常见的应用场景,通常被广泛应用在数据结构网络传输,session存储,cache存储,或者配置文件上传,参数接收等接口处。主要作用是为了能够让数据在存储或者传输的时候能够单单只用string的类型去表述相对复杂的数据结构,方便应用所见即所得,直接进行数据交流处理。 然而安全问题也常常出现在这里。随手点点就有,PHP的unserialize/__wakeup()漏洞、struts的ognl、xml解析的一系列漏洞、当然,还有最近Ruby on Rails的xml/yaml。 而这里的问题,不发生则已,一发生,则通常就是个天大的0day:远程代码执行。 原因为何?和我们的第一段所说的应用场景有关。语言需要从string去解析出自己的语言数据结构,必然要去从这个string中做固定
发布时间:2013-01-15 11:14 | 阅读:96758 | 评论:0 | 标签:漏洞分析 pickle python 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云