0 0 APP

.NET高级代码审计(第八课)SoapFormatter反序列化漏洞

发布于 2019/04/15 安全脉搏
0x00 前言 SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类,SoapFormatter直接派生自System.Object,位于命名空间System.Runtime.Serialization.Formatters.Soap,并实现IRemotingFormatter、IFormatter接口,用于将对象图持久化为一个SOAP流,SOAP是基于XML的简易协议,让应用程序在HTTP上进行信息交换用的。但在某些场景下处理了不安全的SOAP流会造成反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。 0x01 SoapFormatter序列化 SoapFormatter类实现的IFormatter接口中定义了核心的Serialize方法可以非常方便的实现.NET对象与SOAP流之间的转换,可以将数据... 登录后阅读全文
本站内收录的所有文章及其中资源(图片、视频等)均来自于互联网,其版权均归原作者及其网站所有。

评论(0)