Web安全学习——序列化和反序列化

序列化应用

• 远程和进程间通信（RPC/IPC）
• 连线协议、Web服务、消息代理
• 缓存/持久性
• 数据库、缓存服务器、文件系统
• HTTP cookie、HTML表单参数、API身份验证令牌

不安全的反序列化会导致远程代码执行

攻击者可以执行以下攻击：

• 重放攻击
• 注入攻击
• 特权提升攻击

序列化和反序列化

序列化（serialization）：将程序中对象的状态信息转换为可存储形式的过程（一般为字符串）

反序列化（deserialization）：将序列化的数据反向重新构建对象的过程