反序列化是将对象转换为可传输的字符串,再在需要时还原的过程。PHP中的serialize()和unserialize()函数常用于此。当unserialize()接收的参数可控时,可能导致安全漏洞,因为恶意用户可以注入payload触发对象的魔术方法。本文讨论了PHP、JBoss和Weblogic的反序列化漏洞,并提到了弱口令和安全防范的重要性。
什么是反序列化
就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时候再放他出来就好了。在我们讲PHP反序列化的时候,基本都是围绕着serialize(),unserialize()这两个函数。
反序列化漏洞产生的原理
serialize() 和 unserialize() 在 PHP内部实现上是没有漏洞的,之所以会产生反序列化漏洞是因为应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。
当传给 unserialize() 的参数可控时,那么用户就可以注入精心构造的 payload。当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。
php反序列化漏洞
开启phpstudy,打开pikachu
->
最低0.47元/天 解锁文章
3081
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
