上一篇博客中我介绍了python的字符串,元组,列表和字典的序列化 详细请看: python序列化中的字符串,列表,字典,类的序列化解释 这篇博客我将介绍 python反序列化漏洞 任意代码执行 那么怎么反序列化中运行任意代码呢? 首先要说说__reduce__这个魔术方法, 这个方法用来表明类的对象应当如何序列化, 当其返回tuple类型时就可以实现任意代码执行 举个例子: impo...
我们知道现在各大语言都有其序列化数据和反序列的方式, 比如php的serialize和unserialize函数 Python当然也有,官方库里提供了一个叫做pickle的库 字符串的序列化解释 import pickle x = "yuaneuro" y = pickle.dumps(x) # 序列化 print(y) 上面例子中pickle序列化python的一个字符串 运行结果: b...