从后端代码可以看出,拿到序列化后的字符串,直接做反序列化;并且在前端做了展示;
如果虚拟化后的字符串,包含alert 内容,反序列化后,就会弹出窗口
O:1:"S":1:{s:4:"test";s:29:"<script>alert('abc')</script>";}
Pikachu-PHP反序列化
什么鬼昵称2024-10-05 15:44
相关推荐
少控科技4 小时前
QT新手日记024 - QT001程序代码码农水水9 小时前
国家电网Java面试被问:TCP的BBR拥塞控制算法原理浮尘笔记9 小时前
Go语言临时对象池:sync.Pool的原理与使用集成显卡9 小时前
Bun v1.3.6 发布:内置 Tarball 归档支持、JSONC 解析、Bundle 分析增强等重磅更新!咕噜咕噜啦啦9 小时前
Java期末习题速通奔跑的web.9 小时前
TypeScript Enum 类型入门:从基础到实战BHXDML10 小时前
第七章:类与对象(c++)盐真卿10 小时前
python2梦梦代码精10 小时前
BuildingAI vs Dify vs 扣子:三大开源智能体平台架构风格对比Root_Hacker11 小时前
include文件包含个人笔记及c底层调试