溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這期內容當中小編將會給大家帶來有關PHP中怎么利用pikachu反序列化漏洞,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
php程序為了保存和轉儲對象,提供了序列化的方法,php序列化是為了在程序運行的過程中對對象進行轉儲而產生的。序列化可以將對象轉換成字符串,但僅保留對象里的成員變量,不保留函數方法。
serialize() 函數用于序列化對象或數組,并返回一個字符串。
serialize() 函數序列化對象后,可以很方便的將它傳遞給其他需要它的地方,且其類型和結構不會改變。如果想要將已序列化的字符串變回 PHP 的值,可使用 unserialize()。
unserialize() 函數用于將通過 serialize() 函數序列化后的對象或數組進行反序列化,并返回原始的對象結構。
通俗點講就是把一個對象變成可以傳輸的字符串
就是把被序列化的字符串還原為對象,然后在接下來的代碼中繼續使用。
序列化和反序列化本身沒有問題,但是如果反序列化的內容是用戶可以控制的,且后臺不正當的使用了PHP中的魔法函數,就會導致安全問題
輸入payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";} 會進行XSS彈窗
PHP反序列化一般是在代碼審計的時候發現,其他的情況并不容易被發現。
上述就是小編為大家分享的PHP中怎么利用pikachu反序列化漏洞了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
