导读
反序列化漏洞是近年来较为严重的安全问题,该漏洞产生的源头是反序列化过程中,攻击者通过异常数据对系统内危险函数的滥用。但是由于涉及到计算机程序语言和数据结构的相关知识,这一问题一直难以被通俗的解释。本文以科幻小说的形式,将反序列化过程的前因后果加以类比和描述,力求读者可以对反序列化漏洞有形象的了解。
各位时空旅客请注意:这里是火星11号时空旅行站,现在是地球时间2073年7月12日21点30分,您即将前往2073年7月15日0时0分00秒那一刻的太阳系地球上海迪斯尼乐园。
本公司使用最先进的时空旅行技术,可以带您前往未来99年内的任何时刻人类当前已达的任何空间。
本公司采用的技术在可靠性方面已经达到6N(99.9999%),但是因为众所周知的原因,仍然存在百万分之一的可能性,您不能成功到达目标时间的目的地。
敬请仔细阅读《宇宙旅行无限公司时空旅行服务协议》。
如果您确认接受协议,请将您的食指平放在您旅行服的指纹识别器上保持3秒,同时保持双眼注视前方淡红色呼吸灯。我们的心率和脑电波监测仪将用3秒钟判断您是否出于真实意愿接受协议。
现在开始10秒倒数。您可以在倒数结束前按下前方红色的“退出”按钮。
倒计时结束时,您的旅行舱会留在原地,工作人员将在5分钟内赶到,帮助您取消旅行并为您办理退款手续。
您已经支付的时空旅行费用中90%将原路返回您的账户。
“10”
“9”
“8”
“7”
“滴……滴……滴……”
随着3声长音,孙力勇长舒一口气,全身像虚脱一样瘫在旅行舱内,等待工作人员前来。
……
“1”
“启动”
赵丽兰还没有反应过来,时空旅行飞船已经结束倒计时,缓缓离开了站台。她想伸手去按“退出”按钮,发现按钮正在缓缓缩回旅行舱内壁。
她已经够不着了。
她脑袋里冒出一连串问号,心里感到莫名的恐慌。
旅行舱启动了休眠程序,赵丽兰逐渐失去意识。
……
工作人员检查了旅行舱的状态,确认安全之后,解除了孙力勇的安全限制,他按提示做了一个伸展活动,旅行服自行解开,他走出了旅行舱。
出舱后,孙力勇才发现赵丽兰已经独自开始了时空旅行。
如果一切顺利,她将在2073年7月15日0时0分00秒出现在上海迪斯尼乐园的时空驿站。
如果……
孙力勇心中莫名地悲伤,还有难以抑制的懊悔。
不就是“序列化”吗?为什么自己过不了这一关?
孙力勇是一名软件工程师。
在他12年的职业生涯中,和“序列化”、“反序列化”至少打过上万次交道。
正因如此,当他在《时空旅行服务协议》中看到“序列化”这个词的时候,恐惧瞬间攻占了他的大脑,他几乎不由自主地伸出手去按下了“退出”按钮。
根据2060年1月1日发布的《宇宙时空安全法令》,全宇宙所有服务商必须在《服务协议》中明确提供服务基于哪些技术,让服务使用方有机会做出有利于自身安全的判断。
绝大多数人其实不会仔细阅读《服务协议》,因为技术太多,术语太专业。即使每一批旅客在下单后,宇宙时空旅行无限公司都会提供长达7小时的专家在线讲解答疑服务,但是大部分人都只能在一堆术语中昏昏欲睡。
孙力勇和赵丽兰也不例外。
也许是偶然,又或是直觉使然,孙力勇在阅读《服务协议》时正好清楚地看到了“本项服务使用序列化技术从旅行者大脑中分离出旅行期间的意识和记忆……”。
非专业人士对这句话其实没啥感觉。
孙力勇却被吓得不轻。
等等。
这不就是说我的意识和记忆会在目标时间的目的地被反序列化再组装起来。万一有坏人干预了反序列化过程,我的意识和记忆不就被篡改了吗?
不行!
未完待续…
关注「安全漏洞防治」持续追更