在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML 数据
映射为 .NET 对象。XmlSerializer 类在程序中通过单个 API 调用来执行 XML 文档和对
象之间的转换。转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人
员使用 Type 类的静态方法获取外界数据,并调用 Deserialize 反序列化 xml 数据就会
触发反序列化漏洞攻击(例如 DotNetNuke 任意代码执行漏洞 CVE-2017-9822),本
文笔者从原理和代码审计的视角做了相关脑图介绍和复现。
