笔记:序列化与反序列化

最新推荐文章于 2024-07-26 17:57:56 发布
最新推荐文章于 2024-07-26 17:57:56 发布
阅读量83 收藏
点赞数
分类专栏: 网络安全 文章标签: php 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43981050/article/details/129157281
版权

一、介绍

序列化函数 serialize()
反序列化函数 unserialize()
序列化:把对象转化为可传输的字节序列过程称为序列化。
反序列化:把字节序列还原为对象的过程称为反序列化。

魔术函数
  __construct() 当一个对象被创建时调用
  __destruct() 当一个对象被销毁时调用 (new之后会调用,反序列化之后会调用)
  __toString() 当一个对象被当作一个字符串使用
  __sleep() 在对象序列化之前运行
  __wakeup() 将在反序列化之前调用

二、常见漏洞

1.反序列化对象注入-CVE-2016-7124

当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行
例:O:4:“Test”:2:{s:3:“key”;s:4:“flag”;}

2.php session漏洞

session的反序列化漏洞,就是利用php处理器和php_serialize处理器的存储格式差异而产生
反序列化时就会触发__wakeup() __destruct()方法

3.phar漏洞利用

phar以序列化的形式存储用户自定义的meta-data,在通过phar://伪协议解析phar文件时,会将meta-data进行反序列化

三、防御

1.在文件系统函数的参数可控时,对参数进行严格的过滤。
2.严格检查上传文件的内容,而不是只检查文件头。
3.在条件允许的情况下禁用可执行系统命令、代码的危险函数。

总结:本文章为个人总结,如有错误,欢迎各位师傅指正

明丨通
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php反序列化construct绕过,PHP反序列化漏洞
weixin_39824801的博客
03-11 1641
在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数序列化serialize()序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:class S{public $test="pikachu";}$s=new S(); //创建一个对象serialize($s); //把这个对象进行序列化序列化后得到的结果是这个样子的:O:1:"...
序列化反序列化笔记
m0_47599604的博客
04-03 107
目录 序列化反序列化 序列化 常见的序列化格式 反序列化 PHP反序列化漏洞 序列化反序列化 序列化 将对象的状态信息转换为可以存储或传输形式的过程(字符串)。在序列化期间,对象将其当前的状态写入到临时(内存)或持久性存储区(硬盘)。以后可以通过从存储区中读取或者反序列化对象状态,重新创建状态。 简单来讲,序列化就是把一个对象变成可传输的字符串,可以以特定的格式在进程之间跨平台、安全的进行通信。字符串包括,属性名,属性值,属性类型和该对象对应的类名。 对象的序列化利于对
序列化反序列化
热门推荐
lei_gentle的博客
12-11 5万+
我以前确实对序列化,乃至现在也是不是很熟悉,有时候查找资料,但依旧懵懵懂懂,不过还好遇到一个博主,确定写的挺好的,链接会放再底部 废话不多说,先看官网定义: 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 序列化主要有两个用途 把对象的字节序列永久保存到硬盘上,通常存放在一个文件中(序列化对象) 在网络上传送对象的字节序列(网络传输对象)
序列化反序列化
阿刁〇的博客
08-19 453
文章目录序列化反序列化[极客大挑战 2019]PHP[ZJCTF 2019]NiZhuanSiWei[网鼎杯 2020 青龙组]AreUSerialz 序列化反序列化 在各类语言中,讲对象的状态信息转换为可存储或可传输的过程就是序列化序列化的逆过程便是反序列化,主要是为了方便对象的传输,通过文件、网络等方式将序列化后的字符串进行传输,最终通过反序列化可以获取之前的对象。 PHP对象需要表达的内容较多,如类属性值得类型、值等,所以会存在一个基本格式,下面则是PHP序列化后的基本类型表达: 布尔值(bo
__destruct()析构方法的调用
weixin_40974880的博客
01-08 702
model=newlibmysqli();1、当nset(model = new lib_mysqli(); 1、当nset(model=newlibm​ysqli();1、当nset(model)时,会调用__destruct()方法 2、当对象执行类内的方法结束时候,调用__destruct();方法 ...
序列化反序列化漏洞详解
m0_55854679的博客
03-13 9077
文章目录小知识漏洞原理序列化反序列化函数解析序列化:serialize()函数反序列化 :unserialize()函数魔术方法pikachu靶场练习1靶场练习2总结 小知识 weblogic反序列化漏洞 该漏洞挖掘较难。 与变量覆盖一样,并不是说具体的漏洞,而是与它的具体代码有关。 === 【比较 数值相等、类型相等】 == 【比较,数值相等】 = 【赋值 赋予数值】 => 【键值分离】 -> 【类里面的方法调用或者传参】 漏洞原理 序列化: 游戏的
python序列化反序列化和异常处理笔记.doc
10-01
例如,使用pickle库进行序列化反序列化: ```python import pickle data = {'key1': 'value1', 'key2': 'value2'} with open('data.pickle', 'wb') as f: pickle.dump(data, f) with open('data.pickle', 'rb'...
序列化反序列化知识点
06-16
了解序列化反序列化,使用 印象笔记 打开,谢谢!
JAVA笔记??序列化
12-22
 在Java中提供有ObjectInputStream与ObjectOutputStream这两个类用于序列化对象的操作。这两个类是用于存储和独缺对象的输入输出流类,只要把对象中的所有成员变量都存储起来,等于保存了这个对象,之后从保存的...
序列化反序列化doc文档.rar
06-16
而“【笔记序列化反序列化.docx”可能包含作者对学习过程的总结和心得,对于深入理解这些概念很有帮助。“01预习资料.docx”可能提供了基本的概念介绍,是学习序列化反序列化的好起点。 总的来说,序列化和反...
Java中序列化学习笔记/序列和反序列化的实现
05-27
此外,每个可序列化的类都有一个称为`serialVersionUID`的特殊标识,它是用来确保在反序列化时对象的结构与序列化时保持一致。默认情况下,JVM会根据类的定义自动生成一个`serialVersionUID`,但如果类的结构发生...
PHP商城案例
最新发布
王世凡的技术博客
07-26 353
http://www.e9933.com/
MICA:面向复杂嵌入式系统的混合关键性部署框架
openEuler_的博客
07-23 1095
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
c++语言实现类似swoole扩展的项目实践
北风之神Boreas
07-24 373
项目本质其实是C++项目开发,学员学习后增加对C++技术栈的实践能力,毕竟互联网的核心基石依然是C/C++。 当你要改变以前吸收的知识来源于国内视频教程,国内文章教程 国内文章资料 转向全球老外大佬云集的github开源项目吸收时,就要学C和C++ 而你以前的IT技术就是国内的教程 国内的社区 国内的文章 ,但都是有局限的,所以要转向github社区吸收开源项目的东西来增强个人技术体系。 技术只来源于实践,不是光看,光记就会的东西,纸上得来终觉浅绝知此事要躬行。
PHP基础语法-Part2
weixin_51591328的博客
07-25 381
与其他语言相同。
ecshop网站部署
qq_63926306的博客
07-24 324
ecshop网站部署
rce漏洞-ctfshow(50-70)
m0_74402888的博客
07-23 1140
文件名:
PHP 7+ PHP-FPM 参数配置注意事项
2301_82319473的博客
07-26 362
在安装 PHP 7+ 并使用 PHP-FPM 作为进程管理器时,确保 PHP-FPM 的参数配置正确至关重要。本文由ChatMoney团队出品,ChatMoney专注于AI应用落地与变现,我们提供全套、持续更新的AI源码系统与可执行的变现方案,致力于帮助更多人利用AI来变现,欢迎进入。遵循上述指南,您应该能够成功安装和配置 PHP 7+ 以及 PHP-FPM,并确保 Nginx 能够正确解析 PHP 文件。验证 PHP-FPM 和 Nginx 的用户权限设置是否正确,确保它们可以访问相应的文件和目录。
模块化设计与FLC逻辑:序列过程的组合性质分析
"这篇论文探讨了序列过程的合成性质,主要关注在理论计算机科学中的模块化方法和验证技术。作者詹乃军通过研究FLC(Fixpoint Logic with Chop)这一模态逻辑,讨论了其在描述和验证复杂系统中的应用,以解决组合爆炸...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值