一、介绍
序列化函数 serialize()
反序列化函数 unserialize()
序列化:把对象转化为可传输的字节序列过程称为序列化。
反序列化:把字节序列还原为对象的过程称为反序列化。
魔术函数
__construct() 当一个对象被创建时调用
__destruct() 当一个对象被销毁时调用 (new之后会调用,反序列化之后会调用)
__toString() 当一个对象被当作一个字符串使用
__sleep() 在对象序列化之前运行
__wakeup() 将在反序列化之前调用
二、常见漏洞
1.反序列化对象注入-CVE-2016-7124
当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行
例:O:4:“Test”:2:{s:3:“key”;s:4:“flag”;}
2.php session漏洞
session的反序列化漏洞,就是利用php处理器和php_serialize处理器的存储格式差异而产生
反序列化时就会触发__wakeup() __destruct()方法
3.phar漏洞利用
phar以序列化的形式存储用户自定义的meta-data,在通过phar://伪协议解析phar文件时,会将meta-data进行反序列化
三、防御
1.在文件系统函数的参数可控时,对参数进行严格的过滤。
2.严格检查上传文件的内容,而不是只检查文件头。
3.在条件允许的情况下禁用可执行系统命令、代码的危险函数。