记录从公众号看到的 web 杂学。

# .net 反序列化漏洞

  1. 在.NET 处理 Ajax 应用的时候,通常序列化功能由 JavaSerializer 类提供,它是.NET2.0 之后内部实现的序列化功能的类,位于命名空间 System.Web..Serialization、通过 System.Web.Extensions 引用,让开发者轻松实现.Net 中所有类型和 Json 数据之间的转换,但在某些场景下开发者使用 Deserialize 或 DeserializeObject 方法处理不安全的 Json 数据时会造成反序列化攻击从而实现远程 RCE 漏洞。
  2. X-Ajaxpro-Method:用于指定在 Ajax 请求中要调用的服务器端方法的名称