作者名:Demo不是emo
主页面链接:主页传送门 创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:网络安全,数据结构
每日emo:我并不是一直都这样沉默的
目录
序列化是将变量或对象转换成字符串的过程。
就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时候再放他出来就好了。在我们讲PHP反序列化的时候,基本都是围绕着serialize(),unserialize()这两个函数。
serialize() 和 unserialize() 在 PHP内部实现上是没有漏洞的,之所以会产生反序列化漏洞是因为应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。
当传给 unserialize() 的参数可控时,那么用户就可以注入精心构造的 payload。当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害
来看一段php序列化操作的代码
这段代码是将"pikachu"进行序列化操作,序列化后得到的结果是
O:1:"S":1:{s:4:"test";s:7:"pikachu";}
s:数据类型 (pikachu 同样为字符串string)
对于对象,序列化后的格式为:
O:strlen(类名):类名:类的变量个数:{类型:长度:值;类型:长度:值…}
其他类型的数据序列化后的格式为:
Boolean类型 : b:value (保存1或0)Null型 :N Array :a:size:{key definition;value definition}
还有需要注意的点是:分割不同字段以}结尾,这对反序列化很重要
与 serialize() 对应的,unserialize()可以从已存储的表示中创建PHP的值,单就本次所关心的环境而言,可以从序列化后的结果中恢复对象(object)。
$class2 = 'O:7:"chybeta":1:{s:4:"test";s:3:"123";}'; print_r($class2);$class2_unser = unserialize($class2);
这里提醒一下,当使用 unserialize() 恢复对象时, 将调用 __wakeup() 成员函数。
序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题.
常见的几个魔法函数: //不同场景下被自动调用
__toString()当一个对象被当作一个字符串使用
代码举例
@$unser = unserialize($a);
则payload如下
O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}
反序列化的内容是从用户前端传过来的,若从前端传来的内容中插入了恶意的反序列化的内容,后台检测到会对内容进行反序列化,则通过反序列化的接口造成XSS漏洞。
1、安全配置好php相关参数
通过Php配置文件里面有个disable_functions = 配置,这个禁止某些php函数, 服务器便是用这个来禁止php的执行命令函数。 例如: disable_functions =system,passthru,shell_exec,exec,popen 便禁止了用这些函数来执行系统命令
2、升级中间件
3、严格控制传入变量,严谨使用魔法函数