English
•
Deutsch
•
Français
•
Nederlands
•
Español
•
Italiano
•
Português
•
Русский
•
日本語
•
한국어
•
हिन्दी
•
తెలుగు
•
मराठी
•
தமிழ்
•
Türkçe
•
Ελληνικά
•
Polski
•
Čeština
•
Magyar
•
Svenska
•
Dansk
•
Suomi
•
Українська
•
العربية
•
Indonesia
Insecure Deserialization
“Insecure Deserialization” 指的是一种安全漏洞,它发生在程序试图接收、解析并重新构建已经序列化的数据时。序列化是将数据转化为二进制格式以便传输或存储的过程,例如 JSON 或 XML 数据。如果攻击者能够篡改这些已序列化的数据,他们就可以通过改变数据的结构或内容来实现代码注入或篡改等攻击。
这个安全漏洞存在于程序过于相信序列化数据的情况下。攻击者可以通过手动序列化恶意代码,然后将其作为正常数据传递到程序中。然后,当程序随后重新构建恶意代码时,攻击者就可以利用这个漏洞来获取系统权限或者执行其他恶意行为。
为了防止这样的漏洞,程序应该对接收到的序列化数据进行验证,并确保它们没有被篡改过。同时,程序应该不相信来自远程或不受信任来源的序列化数据,并使用其他的安全措施来防止攻击。