原文來自安全客,作者:Ivan1ee@360雲影實驗室
原文鏈接:https://www.anquanke.com/post/id/173151
相關閱讀:
- 《.NET 高級代碼審計(第一課)XmlSerializer 反序列化漏洞》
- 《.NET 高級代碼審計(第二課) Json.Net 反序列化漏洞》
- 《.NET高級代碼審計(第四課) JavaScriptSerializer 反序列化漏洞》
- 《.NET高級代碼審計(第五課) .NET Remoting反序列化漏洞》
- 《.NET高級代碼審計(第六課) DataContractSerializer反序列化漏洞》
0X00 前言
Java中的Fastjson曾經爆出了多個反序列化漏洞和Bypass版本,而在.Net領域也有一個Fastjson的庫,作者官宣這是一個讀寫Json效率最高的的.Net 組件,使用內置方法JSON.ToJSON可以快速序列化.Net對象。讓你輕鬆實現.Net中所有類型(對象,基本數據類型等)和Json之間的轉換,fastjson是一個開源的Json.Net庫,下載地址 http://www.codeproject.com/Articles/159450/fastJSON,反序列過程中詳細的性能對比如下
转载请注明:IAMCOOL » .NET高級代碼審計(第三課)Fastjson反序列化漏洞