不安全的反序列化

文档摘要

不安全的反序列化序列化是将对象转换为一种数据格式的过程，这种格式可以在稍后恢复。人们经常对对象进行序列化，以便将其保存到存储中，或作为通信的一部分发送出去。反序列化则是这一过程的逆向操作——从某种格式的数据中重建对象——OWASP 摘要反序列化标识符 POP 工具实验环境参考文献反序列化标识符请参阅位于其他章节中的以下子部分： Java 反序列化：ysoserial 等 PHP（对象注入）：phpggc 等 Ruby：通用 RCE 工具等 Python：pickle、PyYAML 等 .NET：ysoserial.net 等对象类型 | 头部（十六进制） | 头部（Base64） | 指示符 .