反序列化
反序列化
W小哥1
微信公众号:W小哥
展开
-
PHP反序列化漏洞原理与举例
原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。漏洞触发条件:unserialize函数的变量可控,php文件中存在可利用的类,类中有魔术方法魔术方法:__construct()当一个对象创建时被调用__destruct()当一个对象销毁时被调用__toStrin...原创 2020-03-03 15:59:18 · 405 阅读 · 0 评论 -
PHP反序列化漏洞——pikachu
PHP 序列化serialize() 函数作用:serialize() 函数用于序列化对象或数组,并返回一个字符串。serialize() 函数序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。注意:如果想要将已序列化的字符串变回 PHP 的值,可使用 unserialize()。PHP 版本要求: PHP 4, PHP 5, PHP 7示例:php序...原创 2020-01-15 16:26:22 · 493 阅读 · 0 评论