序列化共5篇
排序
.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞-Pikachu Hacker

.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞

0X00 前言在.NET处理 Ajax应用的时候,通常序列化功能由JavaScriptSerializer类提供,它是.NET2.0之后内部实现的序列化功能的类,位于命名空间System.Web.Script.Serialization、通过System.Web...
代码审计
Pikachu的头像-Pikachu HackerPikachu17天前
03211
.NET高级代码审计(第六课) DataContractSerializer反序列化漏洞-Pikachu Hacker

.NET高级代码审计(第六课) DataContractSerializer反序列化漏洞

0X00 前言DataContractSerializer类用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据,用于把CLR数据类型序列化成XML流,它位于命名空间System.Runtime...
代码审计
Pikachu的头像-Pikachu HackerPikachu17天前
03912
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞-Pikachu Hacker

.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞

0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同,其他的功能上两者差不多,BinaryFormatter位于命名空间 System.Runtime.Serialization.Formatters.Binary...
代码审计
Pikachu的头像-Pikachu HackerPikachu17天前
0417
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞-Pikachu Hacker

.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞

0x00 前言ObjectStateFormatter一般用于序列化和反序列化状态对象图,如常用的ViewState就是通过这个类做序列化的,位于命名空间 System.Web.UI,优点在于对基础类型存储在pair、Hashtable...
代码审计
Pikachu的头像-Pikachu HackerPikachu17天前
0438
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞-Pikachu Hacker

.NET高级代码审计(第十一课) LosFormatter反序列化漏洞

0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState),如果要把ViewState 通过数据库或其他持久化设备来维持,则需要采用特定的 LosFormatter 类来序列化/反序列...
代码审计
Pikachu的头像-Pikachu HackerPikachu17天前
02613