.NET高级代码审计（第十一课） LosFormatter反序列化漏洞

​ 0x00 前言 LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState)，如果要把ViewState 通过数据库或其他持久化设备来维持，则需要采用特定的 LosFormatter 类来序列化/反序列化。它封装在System.Web.dll中，位于命名空间System.Web.UI下，微软官方的阐述是有限的对象序列化（LOS）格式专门为高度精简的ASCII格式序列化，此类支持序列化的任何对象图。但是使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RC...【查看原文】