13.反序列化

最新推荐文章于 2023-12-23 14:08:37 发布
最新推荐文章于 2023-12-23 14:08:37 发布
阅读量208 收藏 1
点赞数
分类专栏: 十大漏洞 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45926195/article/details/121071059
版权

13.1什么是反序列化

就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时候再放他出来就好了。在我们讲PHP反序列化的时候,基本都是围绕着serialize(),unserialize()这两个函数。

13.2安全防范

1)安全配置好php相关参数

      通过Php配置文件里面有个disable_functions = 配置,这个禁止某些php函数,

服务器便是用这个来禁止php的执行命令函数。

例如:

disable_functions =system,passthru,shell_exec,exec,popen

便禁止了用这些函数来执行系统命令

2)升级中间件

3)严格控制传入变量,严谨使用魔法函数

13.3常见的反序列化漏洞

php反序列化

jboss反序列化

weblogic反序列化

13.4常用工具

k8_status2

status2漏洞利用工具

qq_45926195
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反序列化漏洞
金色%夕阳的博客
05-18 3830
反序列化漏洞 1、概述 序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。 条件: 类必须实现反序列化接口,同时设置serialVers
反序列化漏洞详解
热门推荐
LJH1999ZN的博客
03-07 3万+
目录 一、什么是序列化和反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用 八、反序列化漏洞的利用 1.__destruct()函数 2.__wakeup() 3.toString() ​九、反序列化漏洞的防御 一、什么是序列化和反序列化 序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串.
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
最新发布
白帽子凯哥聊黑客
12-23 3764
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
护网蓝队面试常见问题(百题斩第三弹)
MachineGunJoe666
06-28 958
id=1" --dbms=mysql --technique=T --random-agent --level=5 --risk=3 --current-db --users --passwords --privileges --threads=10 --batch --skip-waf --tamper=randomcomments -p id # 指定注入点为id参数,绕过WAF设置,使用随机HTTP头和注入负载进行扫描。基于布尔盲注:基于布尔盲注的攻击方式是常见的SQL盲注手段之一。
网络安全-反序列化漏洞简介、攻击与防御
关注网络安全、云原生安全
03-13 1万+
目录 简介 PHP序列化 Python序列化 攻击 PHP举例 Python举例 防御 参考 简介 各种语言都有反序列化漏洞,Java、PHP、Python等。序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象,也就是序列化的逆过程。 PHP序列化 php中序列化和反序列化函数为serialize、unserialize。 我们尝试对一些类型进行序列化 <?php // 字符串类型 $s = "a string"; $serializ
Java对象序列化和反序列化工具Xson.zip
07-19
Xson是一个Java对象序列化和反序列化程序。支持Java对象到字节数组的序列化,和从字节数组到Java对象的反序列化。 Maven:  <groupId>com.github.xsonorg</groupId>  <artifactId>xson-core  <version>1.0.1 ...
解决Spring Boot和Feign中使用Java 8时间日期API(LocalDate等)的序列化问题
08-27
主要介绍了解决Spring Boot和Feign中使用Java 8时间日期API(LocalDate等)的序列化问题,需要的朋友可以参考下
rust_serialization_benchmark:锈序列化框架的基准
03-12
基准测试: 序列化:将数据序列化到缓冲区中访问:以结构化数据的形式访问缓冲区(仅适用于零复制反序列化库) 读取:运行通过缓冲区并从中读取字段(仅零复制反序列化库) 更新:将缓冲区更新为结构化数据(仅限零...
RestSharp-106.13.0_dll.rar
11-21
最新版RestSharp-106.13.0.dll。RestSharp是一款非常...RestSharp可能是.NET中最受欢迎的HTTP客户端库,具有自动序列化和反序列化,请求和响应类型检测,各种身份验证以及其他有用的功能,正在被成千上万的项目使用。
node-msgpack:NodeJS的节省空间的对象序列化库
03-01
node-msgpack是一个插件提供API用于序列化和反序列化JavaScript对象使用库。 与本地JSON对象相比,此插件的性能还不错,并且序列化数据所需的空间远远小于JSON。表现目前, node-msgpack比内置的JSON.stringify()和...
反序列化漏洞汇总
hackzkaq的博客
12-08 5032
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
2023最全面网络安全面试题1000道附答案
zxcvbnmasdflzl的博客
04-07 1667
2023最全面网络安全面试题1000道附答案
反序列化漏洞(PHP
qq_42383069的博客
05-18 6400
反序列化漏洞 0x01. 序列化和反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列化 序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构 0x03. 序列化和反序列化代码示例 <?php class User { public $username = 'admin'; public $password = '123456';
三、Web漏洞-反序列化
weixin_70557959的博客
05-11 3561
37、WEB漏洞-反序列化PHP(上) 原理 PHP 反序列化原理: 1.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 2.其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程) 3.在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 ---序列化函数:serialize() //将一个对象转换成一个字符串 ...
Web反序列化 262~263详解
读书 买花 长大
11-19 1152
262~263
python序列化,反序列化,踩过那些坑
06-07
Python的序列化和反序列化指的是将Python对象转换为可存储或可传输的格式,以及将这些格式转换回Python对象的过程。常用的序列化格式有JSON、pickle等。在进行序列化和反序列化的过程中,可能会遇到一些坑点,下面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值