从后端代码可以看出,拿到序列化后的字符串,直接做反序列化;并且在前端做了展示;
如果虚拟化后的字符串,包含alert 内容,反序列化后,就会弹出窗口
O:1:"S":1:{s:4:"test";s:29:"<script>alert('abc')</script>";}
Pikachu-PHP反序列化
什么鬼昵称2024-10-05 15:44
相关推荐
虹科网络安全1 小时前
艾体宝干货|数据复制详解:类型、原理与适用场景axng pmje2 小时前
Java语法进阶老前端的功夫2 小时前
【Java从入门到入土】28:Stream API:告别for循环的新时代qq_435287922 小时前
第9章 夸父逐日与后羿射日:死循环与进程终止?十个太阳同时值班的并行冲突止语Lab2 小时前
从手动到框架:Go DI 演进的三个拐点yaoxin5211232 小时前
397. Java 文件操作基础 - 创建常规文件与临时文件小短腿的代码世界2 小时前
Qt日志系统深度解析:从qDebug到企业级日志框架前端摸鱼匠3 小时前
Vue 3 的v-bind合并行为:讲解v-bind与普通属性合并的规则REDcker3 小时前
浏览器端Web程序性能分析与优化实战 DevTools指标与工程清单我命由我123455 小时前
Kotlin 开发 - lateinit 关键字