【安全科普】Python之pickle反序列漏洞

网安教育培养网络安全人才技术交流、学习咨询0x00 Python对象序列化库 pickle简介与其他语言相同，python也有序列化/反序列化的方式python序列化主要有pickle、marshal、json三种pickle库： https://docs.python.org/zh-cn/3/library/pickle.htmlmarshal 模块更加原始，一般 pickle 是序列化Python对象时的首选。JSON 序列化输出文本格式，可直观阅读。pickle 序列化输出二进制格式，不能直观阅读。JSON 只能序列化Python内置类型，不能表示自定义的类。pickle可以表示大量的 Python 数据类型，包括用户自定义的类。JSON 兼容性更好，而 pickle 是 Python 专用的。用法序列化输出为文件对象：pickle.dump(obj, file, protocol=None, *, fix_imports=True)输出为 bytes 对象：pickle.dumps(obj, protocol=None, *, fix_imports=True)反序列化从文件对象中读取 pickle 对象：pickle.load(file, *, fix_imports=True, encoding="ASCII", errors="strict")从 by ………………………………