从后端代码可以看出,拿到序列化后的字符串,直接做反序列化;并且在前端做了展示;
如果虚拟化后的字符串,包含alert 内容,反序列化后,就会弹出窗口
O:1:"S":1:{s:4:"test";s:29:"<script>alert('abc')</script>";}
Pikachu-PHP反序列化
什么鬼昵称2024-10-05 15:44
相关推荐
小浣熊熊熊熊熊熊熊丶3 分钟前
《Effective Java》第25条:限制源文件为单个顶级类啃火龙果的兔子19 分钟前
JDK 安装配置星哥说事19 分钟前
应用程序监控:Java 与 Web 应用的实践我是小路路呀37 分钟前
element级联选择器:已选中一个二级节点,随后又点击了一个一级节点(仅浏览,未确认选择),此时下拉框失去焦点并关闭等....1 小时前
Miniconda使用zfj3211 小时前
go为什么设计成源码依赖,而不是二进制依赖醇氧1 小时前
org.jetbrains.annotations的@Nullable 学习Java&Develop1 小时前
Aes加密 GCM javaweixin_462446231 小时前
使用 Go 实现 SSE 流式推送 + 打字机效果(模拟 Coze Chat)JIngJaneIL1 小时前
基于springboot + vue古城景区管理系统(源码+数据库+文档)