不安全的反序列化_PHP编码安全:避免反序列化漏洞

最新推荐文章于 2024-05-13 09:54:26 发布
最新推荐文章于 2024-05-13 09:54:26 发布
阅读量163 收藏
点赞数
文章标签: 不安全的反序列化

一次性付费进群,长期免费索取教程,没有付费教程。

进微信群回复公众号:微信群;QQ群:460500587

 教程列表  见微信公众号底部菜单 |   本文底部有推荐书籍 

de378c10bd8f75fba33d9086550f6a50.png

微信公众号:计算机与网络安全

ID:Computer-network

反序列化漏洞也称为对象注入漏洞,即恶意攻击者利用PHP的对象序列化和反序列化进行攻击,将恶意数据注入PHP的代码中进行执行的漏洞。

在PHP中使用serialize()函数可以把变量,包括对象,转化成连续bytes数据。可以将序列化后的变量存在文件里或在网络上传输,然后通过unserialize()反序列化还原为原来的数据。由于传输过程中和存放的位置可能被恶意人员篡改,从而导致反序列化回来的对象数据可能携带有恶意攻击者精心构造的攻击逻辑。图1所示为反序列化漏洞。

3101fd53368e2ab4493c5f26c2b010e0.png

图1  反序列化漏洞

大多数人都知道,__construct()函数和__destruct()函数会在对象创建或者销毁时自动调用,在程序执行前serialize()函数会首先检查对象是否存在一个魔术方法__sleep()。如果存在,则__sleep()方法会先被调用,然后才执行串行化(序列化)操作。__sleep()方法必须返回一个数组,包含需要串行化的属性,PHP会抛弃其他属性的值,如果没有__sleep()方法,PHP将保存所有属性。与之相反,unserialize()会检查是否存在一个__wakeup()方法。如果存在,则会先调用__wakeup()方法,预先准备对象数据。

classUser {

private $id,$username,$password;

publicfunction_construct($id,$username,$password)

{

$this->id=$id;

$this->username=$username;

$this->password=$password;

}

publicfunction_sleep()

{

returnarray('id','username','password');

}

publicfunction_wakeup()

{

$this->connect();

}

$user=newUser(110,'hacker','hackerPassword');

echo serialize($user);

执行上面的代码,序列化User对象输出结果如图2所示。

1b39361e584a783cdf900a92846e9dcf.png

图2  序列化结果

从序列化后的数据可以看出,恶意攻击者一旦截获序列化数据,理论上可以调用系统中任意可执行的类,同时也可以调用未定义的magic函数,例如对象调用一个不存在的函数,那么__call函数将被调用;如果试图访问类中不存在的类变量,__get和__set函数将被调用。如果项目系统使用的是开源框架或者代码被攻击者熟知,攻击者可以在服务器上执行任意命令。

避免反序列化漏洞最好的方法是,禁止将序列化后的数据进行网络传输,不要保存在容易被修改或拦截的地方,如Cookie、URL中。

微信公众号:计算机与网络安全

ID:Computer-network

【推荐书籍】

weixin_39962341
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP反序列化漏洞——漏洞原理及防御措施
cldimd的博客
03-20 6748
序列化 将对象转换成字符串 反序列化 将特定格式的字符串转换成对象 什么是反序列化漏洞 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可...
PHP常见的序列化与反序列化操作实例分析
10-16
安全反序列化可能导致远程代码执行漏洞,因此在处理来自不可信源的序列化数据时,应特别谨慎。 - 对于包含对象的序列化,应考虑对象的序列化策略,如是否需要保留对象状态、方法等信息。 - 对于大型数据结构,应...
(十五)不安全反序列化
weixin_43047908的博客
04-18 2822
目录什么是序列化?序列化与反序列化什么是不安全反序列化?不安全反序列化漏洞如何产生?不安全反序列化有何影响?如何利用不安全反序列化漏洞如何识别不安全反序列化PHP序列化格式Java序列化格式操作序列化对象修改对象属性修改数据类型如何防止不安全反序列化漏洞 什么是序列化? 序列化是将复杂的数据结构(例如对象及其字段)转换为“更扁平”格式的过程,该格式可以作为顺序的字节流发送和接收。序列化数据使其更容易: 将复杂数据写入进程间内存,文件或数据库 例如,通过网络,在应用程序的不同组件之间或在API调用
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 5125
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复(1)
最新发布
2401_84132565的博客
05-13 891
在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致。将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!
安全反序列化
qq_45953122的博客
09-25 448
为什么要序列化?序列化,“将对象的状态信息转换为可以存储或传输的形式的过程”,这种形式⼤多为字节流、字符串、json 串。在序列化期间内,将对象当前状态写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建该对象。简单的说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的进⾏通信。
【WEB安全】不安全反序列化
dzqxwzoe的博客
01-23 925
序列化和反序列化是指用于将对象或数据结构转换为字节流的过程,以便在不同系统之间进行传输或存储,并在需要时重新构造。**序列化是指将对象或数据结构转换为字节流的过程。**在序列化过程中,对象的状态和数据被转换为一系列字节,这些字节可以按照一定的协议进行传输或存储。序列化通常用于将对象存储到磁盘或通过网络发送到其他系统。序列化后的字节流可以被保存下来,以后可以通过反序列化操作重新构建对象并恢复其状态和数据。**反序列化是指将序列化后的字节流转换回对象或数据结构的过程。
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
总结来说,这个主题涵盖了Web安全中的关键概念,包括Java和PHP的序列化漏洞利用,以及如何利用这些漏洞进行命令执行。了解和防止这类漏洞对于保护Web应用程序的安全至关重要。开发者应该确保在反序列化过程中对数据...
KiteCMS的漏洞挖掘之旅(任意文件写入、任意文件读取和反序列化)1
08-03
在本文中,我们将深入探讨KiteCMS的安全漏洞,特别是关于任意文件写入、任意文件读取和反序列化的风险。KiteCMS是一个基于ThinkPHP5.1框架构建的内容管理系统(CMS)。由于其代码中存在的一些设计缺陷,攻击者可能...
ThinkPHP v6.0.7 eval反序列化利用链1
08-03
在本文中,我们将探讨ThinkPHP v6.0.7版本中的一个安全问题,即通过...同时,对于使用ThinkPHP的开发者来说,了解并实施安全编码实践,如限制反序列化的数据来源,以及对用户输入进行严格的验证和过滤,是非常重要的。
hs-php-session:用于编码和解码 PHP 会话序列化的 Haskell 库
07-10
`hs-php-session` 是一个专为 Haskell 设计的库,其主要目的是为了处理与 PHP 会话序列化相关的编码和解码任务。在 PHP 中,会话数据通常以字符串的形式存储,这种格式被称为 PHP 会话序列化。该库允许 Haskell ...
ysoserial,用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。.zip
10-13
用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。
应用安全系列之二十五:不安全反序列化
jimmyleeee的专栏
04-07 1420
序列化过程是将一个对象转换成一种数据格式以有利于存储或者传输。而反序列化则是一个相反的过程,把一定格式的数据转变成一个对象。比较流行的数据格式包括:XML,JSON。 这种反序列化过程,当出现输入的数据可以被篡改或者控制时,他可以用于发起攻击,攻击的结果包括但不限于:DOS、访问控制、以及RCE等。 DOS攻击 以Java语言为例,如果构造的一个对象里有一个数组对象,而数组对象的大小被改为整形的最大值,就会导致在反序列化时,分配一个超大的数组,进而导致OutOfMemoryError 错误。 访问控
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
序列化与反序列化(Protocol buff 与 Java序列化协议的比较)
worn_xiao的博客
12-08 271
1. 什么是序列化与反序列化? 序列化就是将代码中的对象的某一个状态转化成字节数组的过程,也就是转化成二进制文件的过程。反序列化与之相反。 2. 为什么要进行序列化? 在将对象存储在文件中或者通过网络进行传输的时候,对象是不能直接存储和传输的,所以要将它序列化为对应的二进制代码。 3. 实现序列化的常用方式有哪些? 使用Java的序列化协议(实现Ser...
禁止实体类某些属性反序列化
BestKDQ的博客
03-12 443
实体类忽略字段的序列化 在项目开发过程中遇到的问题,实体类有字段testName及相应的GETTER SETTER方法,但数据库中没有这个字段,在项目序列化的过程中会报错,这时候应该禁止testName的序列化 在实体中,使用关键字transient 声明这个字段就行了。 ...
【序列化】UNSAFE_DESERIALIZATION 不安全反序列化反序列化漏洞
m0_45406092的博客
08-21 6570
Unsafe Deserialization 进行代码检查时,Coverity工具在进行json转换时,报Unsafe Deserialization错误,字面意思是不安全反序列化,根本原因就是反序列化会有漏洞导致的。 看完下文反序列化漏洞的原理后,我们就知道该如何解决这个问题了。 反序列化漏洞 ...
反序列化漏洞
weixin_43271438的博客
10-08 2772
Weblogic反序列化漏洞 Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。 将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象。 整个过程都是 Java 虚拟机(JVM)独立的,也就是说...
长亭php反序列化防护_PHP反序列化笔记
06-01
好的,您的问题是关于长亭PHP反序列化防护和PHP反序列化的笔记...5. 可以通过限制反序列化的深度和长度、限制反序列化的类和属性等方式来防止反序列化漏洞。 希望这些笔记可以帮助您更好地理解PHP反序列化和防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值