从后端代码可以看出,拿到序列化后的字符串,直接做反序列化;并且在前端做了展示;
如果虚拟化后的字符串,包含alert 内容,反序列化后,就会弹出窗口
O:1:"S":1:{s:4:"test";s:29:"<script>alert('abc')</script>";}
Pikachu-PHP反序列化
什么鬼昵称2024-10-05 15:44
相关推荐
万少11 小时前
Vibe Coding不停歇,移动端 TRAE SOLO 让你用手机也能编程啦bzmK1DTbd11 小时前
Git版本控制:Java项目中的分支管理与合并策略Rust研习社11 小时前
为什么 Rust 没有空指针?kyriewen1111 小时前
WebAssembly:前端界的“外挂”,让C++代码在浏览器里跑起来烛衔溟12 小时前
TypeScript 接口的基本使用 —— 定义对象形状IT乐手13 小时前
Claude Code + Qwen 的配置方法其实防守也摸鱼13 小时前
CTF密码学综合教学指南--第九章砚底藏山河14 小时前
Python量化开发:2026最佳实时股票数据API接口推荐与对比AlunYegeer14 小时前
JAVA,以后端的视角理解前端。在全栈的路上迈出第一步。学网安的肆伍15 小时前
【043-WEB攻防篇】PHP应用&SQL注入&符号拼接&请求方法&HTTP头&JSON&编码类