fastjson是阿里巴巴的一个开源的JSON解析库。通常被用于将json和java object之间进行转换。 他比其他json库都快,但是带来的是更多的漏洞。其实fastjson中的漏洞还是其中的`AutoType`有关: - fastjson引入了AutoType,即在序列化的时候,把**原始类型**记录下来。(基于属性)
上一篇博客中我介绍了python的字符串,元组,列表和字典的序列化 详细请看: python序列化中的字符串,列表,字典,类的序列化解释 这篇博客我将介绍 python反序列化漏洞 任意代码执行 那么怎么反序列化中运行任意代码呢? 首先要说说__reduce__这个魔术方法, 这个方法用来表明类的对象应当如何序列化, 当其返回tuple类型时就可以实现任意代码执行 举个例子: impo...
最近在做一道关于种子爆破的题目,有关mt_rand()这个函数,也是我的第一篇博客 伪随机数 所谓伪随机数,可以理解为可预测性的,生成伪随机数是线性的,比如mt_rand()这个函数,如果知道他的分发seed种子,然后种子有了后,靠mt_rand()生成随机数。 题目 关键代码 <?php #这不是抽奖程序的源代码!不许看! header("Content-Type: text/ht...