PHP反序列化漏洞

首先说到反序列化漏洞,就必须认识什么是序列化

PHP中的serialize和unserialize就是序列化和反序列化函数

serialize() 函数用于序列化对象或数组,并返回一个字符串。

serialize() 函数序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。

如果想要将已序列化的字符串变回 PHP 的值,可使用 unserialize()

PHP 版本要求: PHP 4, PHP 5, PHP 7

形象的说,就像去淘宝买桌子,序列化过程就像卖家将桌子拆分为几个部分,然后再打包运送;反序列化就像买家在收到快递后,将桌子重新拼装好。也就是说,序列化的目的是方便数据的传输和存储。

在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。

常见的序列化格式:

  • 二进制格式
  • 字节数组
  • json字符串
  • xml字符串

先看最简易的一个例子

//test.php
<?php
	class A{
		public $target="demo";
		function __destruct(){
			echo "destructing!<br/>";
			echo $this->target."<br/>";
			echo "destructed!<br/>";
		}
	}

	$a = $_GET['test'];
	$a_unser = unserialize($a);
?>

明显可以看到这里有反序列化函数unserialize,通过get方式传递了test参数并保存在$a中可以自己写一个序列化的脚本

//test1.php
<?php
	class A{
		public $target = "admin";
	}
	
	$a = serialize(new A);
	echo $a;
?>

注意:想要自己序列化的数据成功被反序列化,在自己的脚本中构造的类要同名(这里是class A),类中的变量也要同名(这里是$target)

先跑一边自己的脚本,得到admin序列化的结果

再将结果传递到test.php中的test参数中

 

现在将<script>alert(document.cookie)</script>序列化,结果为O:1:"A":1:{s:6:"target";s:29:"<script>alert(/xss/)</script>";},传参后变成了利用XSS漏洞

 

### PHP 反序列化漏洞原理 PHP反序列化漏洞,亦称为PHP对象注入,属于常见的一类安全缺陷。当程序未充分校验来自用户的反序列化字符串时,就可能允许攻击者操控反序列化进程,从而触发意外行为甚至远程代码执行[^2]。 具体而言,如果应用接受并处理由用户提交的数据作为`unserialize()`函数的参数,则可能存在风险。这是因为未经审查的内容能够影响到内部逻辑流程,特别是那些定义了魔术方法的对象实例(如`__wakeup()`, `__destruct()`),它们会在特定时刻自动调用,成为潜在入口点用于实施攻击[^3]。 例如,下面给出了一种构造恶意负载的方式: ```php O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";} ``` 这段看似无害的字符串,在某些条件下经过不当解析之后可能会导致跨站脚本(XSS)攻击的发生。 ### 防护措施 针对上述提到的风险,采取有效的预防手段至关重要。首要原则是对所有外部输入持怀疑态度,并严格执行白名单过滤机制;其次要定期维护软件版本至最新状态以获得官方发布的补丁支持[^4]。 另外值得注意的是,应当尽可能减少使用内置的`unserialize()`功能,转而考虑更安全替代方案比如JSON格式交换数据结构。对于确实需要用到此类操作的情况,则务必先通过哈希验证等方式确认消息完整性后再继续后续动作。 最后提醒开发者们始终遵循最小权限原则设计系统架构,即使发生突破也能有效遏制损害范围扩大。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值