为什么在 PHP 中反序列化对象是一个坏主意?

为什么在 PHP 中反序列化对象是一个坏主意?插图1

php 中的序列化是将 php 对象转换为字符串的一种方法。该字符串可以以多种方式使用,例如将其存储在数据库中或将其传递给另一个函数。 php 文档表示,在传递 php 值而不丢失其类型和结构时,这非常方便。但我以前从未遇到过这个问题。可能是我没看到吧

<?php $test = new user();
$test->name = "denzyl";
echo serialize($test);
/// output: o:4:"user":1:{s:4:"name";s:6:"denzyl";}

登录后复制

那么,让我们来消化一下这个字符串。 o代表object,后面的数字是对象名称的长度。两个字母s代表字符串和字符串名称的长度。
当您需要将字符串转换回 php 时,调用反序列化函数并将字符串作为参数传递。

序列化对象时,会自动调用两个方法。 __serialize() 和 __sleep()。这将允许类作者在将对象转换为字符串之前执行一些操作。
这是开门见山。但现在,让我们重点关注字符串的反序列化。这意味着将字符串转换为真正的 php 对象,稍后可以在 php 代码中运行时使用。

<?php $string = 'o:8:"user":1:{s:4:"name";s:6:"denzyl";}';
echo unserialize($string)->name;
/// output: denzyl

登录后复制

相同的功能也适用于反序列化。但这一次,两个方法是 __unserialize() 和 __wakeup()。

但为什么这是一个坏主意呢?

在不知情的情况下使用反序列化可能会导致远程代码执行。这就是为什么他们说永远不要相信输入。
假设您很懒并且信任随机输入,并且您连接到序列化对象,这样您就可以
更改对象内部的值。 boom,你可能会被黑客攻击。

<?php $username = $_GET['username'];
$serialized = 'O:8:"User":1:{s:4:"name";s:6:"' . $username . '";}';

登录后复制

我不会解释如何为这样的事情编写漏洞利用程序。有些工具可以自动为您生成有效负载,您可以称自己为脚本小子(我们都从某个地方开始)。我知道的是 phpggc.

要了解该漏洞,您可以阅读 owasp 文章。
如果您之前不知道这一点,还可以阅读 owasp 有关漏洞的其余文章

我知道我还没有解释如何编写漏洞利用程序。我不认为我能比网上的文章做得更好。但现在您知道了这一点,并且可以进行研究。

如何防止被利用?

你为什么要使用这个?我不知道;我编程的时间还不够长(大约 15 年),还没有机会使用序列化/反序列化来解决问题。
我的解决方案太激进了。简单的答案是。 不要在我的 php 项目中使用它。

本文是我编写 php 静态分析工具的系列文章的一部分,该工具可以在几分钟/几秒钟内扫描大量项目。并寻找规则
开发人员希望在他们的项目中拥有这些内容。在撰写本文时,我正在制定一项停止规则
人们不再使用反序列化,它应该为下一个版本做好准备。关注项目,以便您在何时收到通知
我决定编写更多规则。

以上就是为什么在 PHP反序列化对象是一个坏主意?的详细内容,更多请关注至强加速其它相关文章!

本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/27803.html

沫沫沫沫
上一篇 2024年7月25日 10:50
下一篇 2024年7月25日 10:50

相关推荐