序列化是指将复杂的数据类型(如对象)转换为一种简单的格式(如字节流),以便存储或传输。
反序列化则是指将这种简单的格式还原为原来的复杂数据类型的过程。当反序列化操作不当时,就有可能引发反序列化漏洞。
序列化和反序列化本身是为了实现数据在网络上完整高效的传输,但是由于反序列化过程中,对象的魔术方法会自动调用,魔术方法本身调用了别的方法,最终呈现一种链式调用,直到执行任意的代码或者命令
反序列化漏洞经常使用以 __ 开头的函数,是PHP 中的魔术方法。
类中的魔术方法,在特定情况下会自动调用。即使魔术方法在类中没有被定义,也是真实存在的。
__construct() 在创建对象时自动调用
__destruct() 在销毁对象时自动调用
__wakeup() unserialize()时会自动调用这个函数
__sleep() serialize()时会自动调用这个函数
并且反序列化漏洞可以通过多种方式利用,比如注入恶意代码,执行任意命令等。因此,开发人员需要谨慎地处理序列化和反序列化操作,以避免出现此类漏洞