了解一下 serialize() 和 unserialize() ?
原理
序列化和反序列化是一个很有用的功能。它可以使得对象和字符串进行相互转换,从而完成持久化。但如果传给 unserialize() 的参数可控时,我们可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量甚至是函数。
反序列化漏洞一般是对输入进行反序列化$obj=unserialize($_GET['object']),但仅仅将字符串反序列化为对象并没有什么用,还需要利用魔术方法或者其他敏感函数进行恶意操作。
最后修改:2019 年 07 月 03 日
© 允许规范转载
赞赏作者
如果觉得我的文章对你有用,请随意赞赏