记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Python Pickle反序列化带来的安全问题

0x00 前言 数据序列化,这是个很常见的应用场景,通常被广泛应用在数据结构网络传输,session存储,cache存储,或者配置文件上传,参数接收等接口处。主要作用是为了能够让数据在存储或者传输的时候能够单单只用string的类型去表述相对复杂的数据结构,方便应用所见即所得,直接进行数据交流处理。 然而安全问题也常常出现在这里。随手点点就有,PHP的unserialize/__wakeup()漏洞、struts的ognl、xml解析的一系列漏洞、当然,还有最近Ruby on Rails的xml/yaml。 而这里的问题,不发生则已,一发生,则通常就是个天大的0day:远程代码执行。
发布时间:2013-01-15 11:14 | 阅读:149508 | 评论:0 | 标签:漏洞分析 pickle python 漏洞

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

赞助支持💖

标签云