【反序列化漏洞-01】序列化与反序列化简介

最新推荐文章于 2023-05-10 12:57:31 发布
最新推荐文章于 2023-05-10 12:57:31 发布
阅读量358 收藏
点赞数
分类专栏: # 入门07 Web安全之渗透测试 文章标签: 序列化 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64378913/article/details/125737026
版权
本文详细介绍了PHP中序列化与反序列化的应用场景,包括stu类对象的实例化、序列化存储、网络传输及SessionID在PHP中的操作。重点展示了如何在前后端交互中利用serialize和unserialize实现对象的保存与恢复。
摘要由CSDN通过智能技术生成

目录

1 背景

(1)在PHP中,每个类的定义都以关键字 class 开头,后面跟着类名,后面跟着一对花括号,里面包含有类的属性与方法的定义
(2)一个类可以包含有属于自己的属性(常量,变量)和方法(函数)
(3)由于类的实例化对象比较抽象,不方便用于传输和存储。
在这里插入图片描述

tips(类与对象):

  • 类为class,对象是object;举个例子,车为一个大类,大类再分小类如自行车、卡车;而具体的某台车为一个对象。

2 序列化与反序列化的定义

序列化与反序列化过程在php、python等多种语言中普遍存在。

  • 序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即将对象状态转换为可存储或可传输的过程)
  • 反序列化:程序把存储或传输的字节序列恢复为对象的过程。
  • 核心思想:对象状态的保存和重建。

PHP中的序列化与反序列化,基本都是围绕serialize()unserialize()两个函数展开的。

3 作用及优点

序列化的意义:在传递和保存对象时,为保证对象的完整性和可传递性,程序将对象转换为有序字节流以保存在本地文件中,并且可以以特定的格式在进程之间跨平台、安全的进行通信。比如从java平台传递到php平台。

反序列化的意义:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。

序列化的优点

  • 将对象转为字节流存储到硬盘上(实际上是存放在数据库,一般是redis数据库-键值对数据库),当JVM停机的话,字节流还会在硬盘上默默等待,等待下一次JVM的启动,把序列化的对象,通过反序列化为原来的对象
  • 序列化后的二进制序列能够减少存储空间(永久性保存对象)。
  • 序列化成字节流形式的对象可以进行网络传输。
  • 通过序列化可以在进程间传递对象。

tips:
实际上用redis数据库作为缓存,一般用于存储序列化后的字符串,待字符串需要使用时,再反序列化为对象,方便调用。

4 例子:测试php代码中序列化与反序列化执行过程

4.1 测试环境

服务器:在虚拟机中安装win2008及phpstudy,参考《【语言环境】WAMP环境部署及优化—以win2008R2SP1为操作系统》。

客户端:真实机浏览器。

4.2 测试序列化过程

(1)在服务器网站根目录下新建一个文件夹serialize_unserialize,再在该文件夹下新建一个txt文件,输入以下内容,并重命名为serialize.php。

<meta charset = "utf-8">
<?php
//定义一个stu类,类中有4个属性,暂未定义方法。
class stu{
	public $name;
	public $sex;
	public $age;
	public $score;
}

//创建对象1
$stu1=new stu();
$stu1->name="gzz";
$stu1->sex=true;
$stu1->age=18;
$stu1->score=66;

//创建对象2
$stu2=new stu();
$stu2->name="dqq";
$stu2->sex=false;
$stu2->age=18;
$stu2->score=96;

//输出gzz和dqq的成绩
echo $stu1->name."'s score=".$stu1->score;
echo "<br/>";
echo $stu2->name."'s score=".$stu2->score;

//用var_dump输出对象
echo "<hr>";
var_dump($stu1);
echo "<br/>";
var_dump($stu2);

//对对象进行序列化并输出
echo "<hr>";
echo "序列化后采用echo输出<br>";
echo serialize($stu1);

?>

(2)真实机浏览器访问该网页,显示如下。可以看到对象被序列化成字符串:,其中:

  • object(stu)#1 (4) { ["name"]=> string(3) "gzz" ["sex"]=> bool(true) ["age"]=> int(18) ["score"]=> int(66) }
    ①object表示对象;(stu)表示对象所属类, (4) 表示有4个属性
  • O:3:"stu":4:{s:4:"name";s:3:"gzz";s:3:"sex";b:1;s:3:"age";i:18;s:5:"score";i:66;}
    ①O表示该字符串对对象;3表示该对象名有3个字符;stu表示对象名;4表示有4个属性;
    ②花括号内每两个分号表示一个属性的键值对。
    在这里插入图片描述

4.3 测试反序列化过程

(1)复制上述serialize.php文件,并重命名为unserialize.php内容修改如下:

<meta charset = "utf-8">
<?php
//定义一个stu类,类中有4个属性,暂未定义方法。
class stu{
	public $name;
	public $sex;
	public $age;
	public $score;
}

//接收来自输入或者前文生成的字符串。
$obj=$_GET['obj'];

//反序列化
$stu1 = unserialize($obj);

//采用var_dump输出
echo "采用var_dump输出<br>";
var_dump($stu1);
echo '<hr>';

//对对象进行序列化并输出
echo "序列化后采用echo输出<br>";
echo serialize($stu1);

?>

(2)真实机浏览器访问该网页并传入参数obj,访问参数为?obj=O:3:%22stu%22:4:{s:4:%22name%22;s:3:%22gzz%22;s:3:%22sex%22;b:1;s:3:%22age%22;i:18;s:5:%22score%22;i:66;},网页显示结果如下。可以看到反序列后后成功生成对象。
在这里插入图片描述

5 例子:SessionID在php中的序列化与反序列化

5.1 SessionID序列化

以PHP语言为例,简单介绍Session ID序列化的过程。
(1)在第4行中,odbc_connect函数,执行成功则返回connection ID函数,失败则返回false。输入参数依次为数据库名、用户名、密码、其他参数。
(1)在第5行中,odbc_prepare函数,如果成功准备 SQL 命令,则返回 ODBC 结果标识符; 出错时返回 false。
(1)在第6行,serialize()函数将 session_data 进行序列化;随后,array()生成一个数组,数组的第一个元素是序列化后的字节流,第二个元素是变量。
(1)在第7行的判断条件中,odbc_execute()函数将准备好的数组传入到准备好的SQL语句中执行,进行数据库中的对应数据的更新。如果执行失败,则执行 if 函数体。

<?php
// $session_data 是包含了当前用户 session 信息的多维数组。
// 我们使用 serialize() 在请求结束之前将其存储到数据库中。
$conn = odbc_connect ("webdb", "php", "chicken");
$stmt = odbc_prepare ($conn, "UPDATE sessions SET data = ? WHERE id = ?");
$sqldata = array (serialize($session_data), $PHP_AUTH_USER);
if (!odbc_execute ($stmt, &$sqldata)) {
    $stmt = odbc_prepare($conn,
     "INSERT INTO sessions (id, data) VALUES(?, ?)");
    if (!odbc_execute($stmt, &$sqldata)) {
    /* 出错 */
    }
}
?>

5.2 SessionID反序列化

以PHP语言为例,简单介绍Session ID反序列化的过程,是上述例子的延续。
(1)在第6行,使用array()函数将超全局变量$_SERVER的属性PHP_AUTH_USER内容定义为数组。
(1)在第7行中,使用odbc_execute()函数从数据库中找到对应user的SessionID;odbc_fetch_into()返回结果中的列数,错误时为返回false。
(1)在第12行中,对从数据库中取得的SessionID进行反序列化。

<?php
// 这里,我们使用 unserialize() 装载来自数据库的 $session_data 数组中的会话数据。
// 此例是描述 serialize() 的那个例子的补充。
$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
    // 如果执行出错或返回错误,则初始化为空数组
    $session_data = array();
} else {
    // 现在我们需要的是 $tmp[0] 中已序列化的数据。
    $session_data = unserialize($tmp[0]);
    if (!is_array($session_data)) {
        // 出错,初始化为空数组
        $session_data = array();
    }
}
?>

6 总结

(1)了解序列化与反序列化的作用;
(1)掌握PHP中序列化与反序列化的使用方法。

参考文章

[1]《序列化和反序列化的详解
[2]《PHP类与对象基本概念》初学者建议看一下PHP官方手册对类的应用方法。

像风一样9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反序列化漏洞-01序列化反序列化概述
cc
02-27 2195
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
(渗透学习)理解java反序列化漏洞原理---层序渐进
yang1234567898的博客
12-31 4275
1、为什么要序列化? 因为只有字节数据才能进行存储和传输,所以为了使对象(如class类)能够存储、传输,就需要将对象转成字节的形式 存储:不需要的时候就序列化对象后的数据存入磁盘,需要的时候就反序列还原对象进行调用 传输:当A想要用B的对象时,那么A需要将对象进行序列化传输给B,B接收之后进行反序列化还原调用 2、如何序列化反序列化? 要求:只有实现了Serializable接口的对象才能被序列化,否则抛出异常,如: class MyObject implements Serializ
序列化反序列化(Serializable特性)
weixin_30527323的博客
01-19 73
//需要被实例化的类 using System.Collections; using UnityEngine; [Serializable] public class SerializableClass : MonoBehaviour { public string name; public SerializableClass(string name) ...
序列化反序列化
weixin_33738982的博客
01-27 152
数据库: CREATE TABLE T_EXTERIOR ( "ID" INTEGER NOT NULL , "EXTERIOR" BLOB(1048576) LOGGED NOT COMPACT NOT NULL ) 序列化并保存到数据库(A项目): Exterior exterior = new Exterior(); ...
反序列化的详解
weixin_45932157的博客
07-20 240
怎样序列化这个字符串呢? string jsonText2 = "{\"Specificlocation\":[{\"name\":\"zj11\",\"age\":\"22\"},{\"name\":\"z71\",\"age\":\"32\"},{\"name\":\"z1\",\"age\":\"42\"},{\"name\":\"zj81\",\"age\":\"12\"},{\"name\":\"zjy1\",\"age\":\"72\"},{\"name\":\"zj31\",\"age\":
java反序列化漏洞-验证.rar
06-25
1. **Java反序列化漏洞**:当不信任的数据源提供的序列化对象被反序列化时,如果对象的类包含危险的方法(如`ObjectInputStream.readObject()`),攻击者可以构造特殊的序列化数据来触发这些方法,执行任意代码。...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Shiro反序列化漏洞检测工具
01-05
反序列化不安全的对象时,攻击者可以构造特殊的序列化数据,使其在反序列化过程中调用预期的方法,从而执行恶意代码。 防范这种漏洞的方法主要有以下几点: 1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4...
序列化反序列化的概念_序列化的概念
最佳 Java 编程
06-18 195
序列化反序列化的概念 讨论了为什么Optional不可序列化以及如何处理(即将推出)之后,让我们仔细看看序列化。 总览 这篇文章介绍了序列化的一些关键概念。 它尝试精简地执行此操作,而不会涉及太多细节,包括将建议降至最低。 它没有叙述,更类似于Wiki文章。 主要信息来源是约书亚·布洛赫(Joshua Bloch)的出色著作《 有效的Java》 ,其中涉及到序列化的多个内容(第一版:54...
Java高级特性:序列化反序列化
Stardust_fantasy的博客
04-25 463
序列化是一个用于将对象状态转换为字节流的过程
魔术方法总结
梦里不知身是客
12-26 9858
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
0x04 反序列化
最新发布
weixin_43263566的博客
05-10 263
0x04 反序列化
彻底理解序列化反序列化
Likes的博客
01-16 2792
https://tech.meituan.com/2015/02/26/serialization-vs-deserialization.html 目录 摘要 简介 一、定义以及相关概念 数据结构、对象与二进制串 二、序列化协议特性 通用性 强健性/鲁棒性 可调试性/可读性 性能 可扩展性/兼容性 安全性/访问限制 三、序列化反序列化的组件 序列化组件与数据库访问组件...
(反)序列化方式
yeleits的博客
05-07 364
jdk、msgpack、protobuf的(反)序列化 1. Protobuf的准备工作 参考:https://hi-dhl.com/2020/10/28/android/05-probuff-mac/ ① mac安装protobuf:brew install protobuf ② idea的resource目录下编写Person.proto文件: syntax = "proto3"; option java_package = "com.phei.encode"; option java_o
为什么序列化?如何(反)序列化?
weixin_45582785的博客
05-05 478
1.为什么序列化 定义:序列化是指将对象转换成字节序列的过程,反序列化则是将字节序列恢复为对象的过程 作用:由于计算机数据存储和传输都是二进制数据,所以将对象序列化后可以实现该对象在网络上的传输和在硬盘上的存储. 2.如何(反)序列化 关于序列化,就不得不提开源类库:Newtonsoft.Json,它提供了强大的序列功能,拥有稳定的性能.下面的这些例子就需要引用Newtonsoft.Json类库....
2018026-Java中如何实现序列化反序列化
得一
06-27 1706
概念 序列化:将对象序列化成字节数组。 反序列化:将字节数组反序列化成对象。
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" ...5. 在反序列化之前,对输入进行白名单过滤或使用安全的反序列化库。 理解Java和Jackson反序列化的原理并采取适当的防御措施,对于保障应用程序的安全性至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值