0 0 APP

.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞

发布于 2019/04/18 安全脉搏
0x00 前言 ObjectStateFormatter一般用于序列化和反序列化状态对象图,如常用的ViewState就是通过这个类做序列化的,位于命名空间 System.Web.UI,优点在于对基础类型存储在pair、Hashtable等数据结构里的时候序列化速度很快。但是使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。 0x01 ObjectStateFormatter序列化 下面通过使用ObjectStateFormatter类序列化一个实例来说明问题,首先定义TestClass对象 定义了三个成员,并实现了一个静态方法ClassMethod启动进程。 序列化通过创建对象实例分别给成员赋值 同BinaryFormatter一样,常规下使用Serialize得到序列化... 登录后阅读全文
本站内收录的所有文章及其中资源(图片、视频等)均来自于互联网,其版权均归原作者及其网站所有。

评论(0)