国产精品天干天干,亚洲毛片在线,日韩gay小鲜肉啪啪18禁,女同Gay自慰喷水

歡迎光臨散文網(wǎng) 會員登陸 & 注冊

PHP代碼審計之反序列化漏洞

2021-09-03 10:22 作者:安全牛課堂  | 我要投稿

什么是反序列化?

序列化就是將對象轉(zhuǎn)化為字節(jié)流,便于保存在文件,內(nèi)存,數(shù)據(jù)庫中;反序列化即將字節(jié)流轉(zhuǎn)化為對象。

也就是把數(shù)據(jù)轉(zhuǎn)化為一種可逆的數(shù)據(jù)結(jié)構(gòu),再把這種可逆的數(shù)據(jù)結(jié)構(gòu)轉(zhuǎn)化回數(shù)據(jù),這就是序列化與反序列化。


反序列函數(shù):

serialize()?//??將一個對象轉(zhuǎn)換成一個字符串

unserialize()??//將字符串還原成一個對象? ?


漏洞原理:

PHP將所有以__ (兩個下劃線)開頭的類方法保留為魔術(shù)方法。所以在定義類方法時,除了上述魔術(shù)方法,建議不要以__為前綴。
常見的反序列化漏洞中出現(xiàn)的魔術(shù)方法及其觸發(fā)條件:

__construct()當(dāng)一個對象創(chuàng)建時被調(diào)用

__destruct()當(dāng)一個對象銷毀時被調(diào)用

__toString()當(dāng)一個對象被當(dāng)作一個字符串時使用

__sleep() 在對象在被序列化之前運(yùn)行

__wakeup() 如果有,在反序列化之前調(diào)用


?課程推薦

《PHP代碼審計之反序列化漏洞》,通過本課程您將學(xué)習(xí)到,反序列化漏洞對象注入代碼審計、反序列化POP鏈構(gòu)造基礎(chǔ)審計、反序列化POP鏈構(gòu)造之phpggc、session反序列化漏洞審計、MyuCMS源碼phar反序列化漏洞審計、Typecho反序列化getshell審計、Yii2反序列化POP鏈挖掘?qū)徲?,上述相關(guān)工具使用、實戰(zhàn)代碼分析、漏洞代碼分析、漏洞復(fù)現(xiàn)、實例審計等內(nèi)容。

視頻地址:https://www.aqniukt.com/my/course/13996

?▼識別二維碼直通課程頁面


PHP代碼審計之反序列化漏洞的評論 (共 條)

分享到微博請遵守國家法律
高雄市| 常熟市| 大方县| 京山县| 仪陇县| 东莞市| 石门县| 荣成市| 寻乌县| 牙克石市| 包头市| 邯郸县| 油尖旺区| 志丹县| 象州县| 吉水县| 木兰县| 唐山市| 福贡县| 新干县| 大邑县| 阜南县| 娱乐| 电白县| 九江县| 泊头市| 蒲江县| 庆阳市| 禹州市| 昌黎县| 武川县| 射阳县| 沁源县| 丰顺县| 阳原县| 遂平县| 巩留县| 齐齐哈尔市| 平武县| 肃北| 滁州市|