전체 글 (162) 썸네일형 리스트형 [DownUnderCTF 2024] WEB/sniffy 보호되어 있는 글입니다. [DownUnderCTF 2024] WEB / i am confusion 보호되어 있는 글입니다. [DownUnderCTF 2024] WEB/co2 보호되어 있는 글입니다. [DownUnderCTF 2024] WEB/zoo feedback form 보호되어 있는 글입니다. [DownUnderCTF 2024] WEB/parrot the emu 보호되어 있는 글입니다. [WEB-dreamhack] read_flag 보호되어 있는 글입니다. [WEB-dreamhack] easy-login 보호되어 있는 글입니다. python deserialize 취약점 (pickle) 역직렬화 관련 취약점 분석 pickling = serialize = 직렬화 unpickling = deserialize = 역직렬화 python에서 직렬화를 진행하는 모듈이 바로 'pickle'이다. 그 중 4개의 기능이 존재한다. 1. dump / dumps 2. load / loads 이렇게 보면 글로는 잘 이해가 되지 않아서 python코드로 확인해보자. 이렇게 확인해보면 test 라는 문자열을 byte stream 으로 전환을 하는 것을 확인할 수 있다. 해당 기능을 확인했으니, 어떻게 취약점이 동작하는지 확인해보자. pickle 모듈 내에 존재하는 __reduce__() 메소드가 취약하다. __reduce__() : 객체 계층 구조를 역직렬화할 때 객체를 재구성하는 것에 대해 tuple을 반환해.. 이전 1 2 3 4 5 6 ··· 21 다음 목록 더보기
