文章来源: 更新时间:2024-11-29 22:10:08
供应链***的方式有很多,这次利用的是CVE-2024-3568漏洞, 简单来说就这类漏洞是某个函数未对模型数据做严格的检查,所以通过在这些数据中插入一些恶意构造的数据,就可以执行越权执行代码。
比如正常的加载过程是这样的,序列化数据加载后也应该是数据 但如果有人想干坏事,构造一些“特殊的数据”那么在反序列的过程中,就有可能把原本应该是数据的内容转义成可执行的代码,你可能会问了为什么那么麻烦,为什么不直接修改代码呢?…。
地址:广东省广州市天河区88号电话:400-123-4657传真:+86-123-4567
版权所有:
