反序列化漏洞简单知识

目录:

一、概念:

二、反序列化漏洞原因

三、序列化漏洞的魔术方法:

四、反序列化漏洞防御:

一、概念:

序列化:

Web服务器将HttpSession对象保存到文件系统或数据库中,需要采用序列化的方式将HttpSession对象中的每个属性对象保存到文件系统或数据库中;

例子:

反序列化:

Web服务器将HttpSession对象从文件系统或数据库中装载如内存时,需要采用反序列化的方式,HttpSession对象中的每个属性对象。
PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。

二、反序列化漏洞原因:

漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。

漏洞原因:

漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。
反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。

三、序列化漏洞的魔术方法:

以_开头的的方法,是PHP中的魔术方法,在特定情况下会被自动调用:

主要魔术方法及其触发条件如下:

_construct():构造方法,当---个对象被创建时调用此方法.

_destruct():析构方法,PHP将在对象被销毁前(即从内存中清除前)调用这个方法

_autoload():使用尚未被定义的类时自动调用。通过此函数,脚本引擎在PHP出错失败前有了最后一个机会加载所需的类。

_call( method, arg_array ):在对象中调用一个不可访问方法时

_callstatic():在静态上下文中调用一个不可访问的方法时使用

_clone():使用clone方法复制一个对象时

_invoke():当尝试调用函数的方式调用一个对象时-

__get( $property ):从不可访问的属性中读取数据

_set( Sproperty, Svalue ):给一个未定义的属性赋值时调用

_isset( Sproperty ):当在一个未定义的属性上调用isset()函数时调用此方法

_unset( $property ):当在一个未定义的属性上调用unset()函数时调用此方法

_tostring():在将一个对象转化成字符串时自动调用

_sleep():序列化对象前调用(其返回需要是---个数组),详见补充说明

_wakeup():反序列化恢复对象前调用,详见补充说明

set_state():当调用var_export()时,这个静态方法会被调用

_invoke():当尝试以调用函数的方式调用一个对象时,****_invoke方法会被自动调用

从序列化到反序列化这几个函数的执行过程是:

_construct()->_sleep()_wakeup()->_tostring()->_destruct()

四、反序列化漏洞防御:

1、严格控制unserialize函数的参数,坚持用户所输入的信息都是不可靠的原则;

2、对于unserialize后的变量内容进行检查,以确定内容没有被污染;

3、做好代码审计相关工作,提高开发人员的安全意识;

相关推荐
枷锁—sha1 小时前
【DVWA系列】——CSRF——Medium详细教程
android·服务器·前端·web安全·网络安全·csrf
枷锁—sha1 小时前
跨站请求伪造漏洞(CSRF)详解
运维·服务器·前端·web安全·网络安全·csrf
2301_780789666 小时前
UDP和TCP的主要区别是什么
服务器·网络协议·web安全·网络安全·udp
天天进步20157 小时前
前端安全指南:防御XSS与CSRF攻击
前端·安全·xss
一只栖枝8 小时前
HCIA-Security 认证精讲!网络安全理论与实战全掌握
网络·web安全·网络安全·智能路由器·hcia·it·hcia-security
nington0111 小时前
面对微软AD的安全隐患,宁盾身份域管如何设计安全性
安全
晨欣11 小时前
大型语言模型(LLM)在网络安全中最具商业价值的应用场景(Grok3 回答 DeepSearch模式)
网络·web安全·语言模型
迈威通信12 小时前
接口黑洞?破!安全堡垒?筑!冰火炼狱?战!MES7114W终极掌控
网络·安全
moppol15 小时前
多租户云环境下的隔离性保障:虚拟化、容器、安全组如何协同防护?
安全
上海云盾-高防顾问15 小时前
电商行业如何做好网络安全工作?
网络·安全·web安全