大朗网站仿做,google广告,jsp网站项目,百度网站推广服务商目录#xff1a; 一、概念#xff1a; 二、反序列化漏洞原因 三、序列化漏洞的魔术方法#xff1a; 四、反序列化漏洞防御#xff1a;
一、概念#xff1a; 序列化#xff1a; Web服务器将HttpSession对象保存到文件系统或数据库中#xff0c;需要采用序列化的…目录 一、概念 二、反序列化漏洞原因 三、序列化漏洞的魔术方法 四、反序列化漏洞防御
一、概念 序列化 Web服务器将HttpSession对象保存到文件系统或数据库中需要采用序列化的方式将HttpSession对象中的每个属性对象保存到文件系统或数据库中; 例子 反序列化 Web服务器将HttpSession对象从文件系统或数据库中装载如内存时需要采用反序列化的方式HttpSession对象中的每个属性对象。 PHP反序列化漏洞也叫PHP对象注入是一个非常常见的漏洞这种类型的漏洞虽然有些难以利用但一旦利用成功就会造成非常危险的后果。
二、反序列化漏洞原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测导致反序列化过程可以被恶意控制进而造成代码执行、getshell等一系列不可控的后果。 漏洞原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测导致反序列化过程可以被恶意控制进而造成代码执行、getshell等一系列不可控的后果。 反序列化漏洞并不是PHP特有也存在于Java、Python等语言之中但其原理基本相通。
三、序列化漏洞的魔术方法 以_开头的的方法是PHP中的魔术方法在特定情况下会被自动调用: 主要魔术方法及其触发条件如下: _construct():构造方法当—个对象被创建时调用此方法. _destruct():析构方法PHP将在对象被销毁前(即从内存中清除前)调用这个方法 _autoload():使用尚未被定义的类时自动调用。通过此函数脚本引擎在PHP出错失败前有了最后一个机会加载所需的类。 _call( $method, $arg_array ):在对象中调用一个不可访问方法时 _callstatic():在静态上下文中调用一个不可访问的方法时使用 _clone():使用clone方法复制一个对象时 _invoke():当尝试调用函数的方式调用一个对象时- __get( $property ):从不可访问的属性中读取数据 _set( Sproperty, Svalue ):给一个未定义的属性赋值时调用 _isset( Sproperty ):当在一个未定义的属性上调用isset()函数时调用此方法 _unset( $property ):当在一个未定义的属性上调用unset()函数时调用此方法 _tostring():在将一个对象转化成字符串时自动调用 _sleep():序列化对象前调用其返回需要是—个数组)详见补充说明 _wakeup():反序列化恢复对象前调用详见补充说明 set_state():当调用var_export()时这个静态方法会被调用 _invoke():当尝试以调用函数的方式调用一个对象时_invoke方法会被自动调用 从序列化到反序列化这几个函数的执行过程是 _construct()-_sleep()_wakeup()-_tostring()-_destruct()
四、反序列化漏洞防御 1、严格控制unserialize函数的参数坚持用户所输入的信息都是不可靠的原则; 2、对于unserialize后的变量内容进行检查以确定内容没有被污染; 3、做好代码审计相关工作提高开发人员的安全意识;
