80 个反序列化漏洞全景系列 (4) | 介绍一个业务功能叠加特殊环境下的绕过方法

在 .NET 安全实战中，反序列化漏洞一直被视为极高危的攻击面。其原因很简单，一旦研发在处理输入数据时，使用了 BinaryFormatter 这样的高危类库，那么攻击者就有机会通过构造特制的数据流，突破程序逻辑的边界，执行任意命令或代码。这一问题之所以长期存在，并不是因为研发者不了解风险，而往往是因为实际业务需求的复杂性，迫使他们在性能、兼容性与安全性之间做出权衡。