文件名称:.NET 高级代码审计(第一课)XmlSerializer 反序列漏洞
文件大小:1.64MB
文件格式:PDF
更新时间:2022-03-27 05:25:06
.NET 代码审计 XmlSer 反序列漏洞
在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML 数据 映射为 .NET 对象。XmlSerializer 类在程序中通过单个 API 调用来执行 XML 文档和对 象之间的转换。转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人 员使用 Type 类的静态方法获取外界数据,并调用 Deserialize 反序列化 xml 数据就会 触发反序列化漏洞攻击(例如 DotNetNuke 任意代码执行漏洞 CVE-2017-9822),本 文笔者从原理和代码审计的视角做了相关脑图介绍和复现。