【摘要】Nodejs反序列化漏洞原理 它把一段本该只是“数据”的字符串,错误地当成了“代码”去执行。 这里的逻辑依靠两个部分配合:第一个是node-serialize库的解析逻辑eval,第二个是JavaScript的语法特性。 正常流程 如果服务器想把一个函数存起来,或者在网络上船速,它必须把函数变成字符 阅读全文