网络安全一直是个大问题!PHP现反序列化漏洞

2018-12-11 21:29

网络安全一直是个大问题!PHP现反序列化漏洞



  英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库,包括 WordPress 等内容管理系统(CMS),并将允许远程程序攻击。

  序列化(Serialization)与反序列化(Deserialization)是所有编程语言都具备的功能,序列化将对象转换为字符串,以将数据迁移到不同服务器,服务或应用程序上,然后通过反序列将字符串还原到对象。

  安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险,而相关的漏洞不仅存在于 PHP 中,还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术,可用于各种场景,例如 XML External Entity(XEE)漏洞或服务器端伪造请求(SSFR)漏洞等。

  Thomas 表示,过去外界认为 XXE 漏洞带来的最大问题是信息外泄,但现在可出发程序执行。相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。

网络安全一直是个大问题!PHP现反序列化漏洞

  搜索爱板网加关注,每日最新的开发板、智能硬件、开源硬件、活动等信息可以让你一手全掌握。推荐关注!

网络安全一直是个大问题!PHP现反序列化漏洞

  该文章由 博博1998 于3月前发表在资讯分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。

  【上篇】专为AirPods无线耳机设计的皮制保护套—— AirSnap

  【下篇】更现代化、更易于访问且更具魅力的Ubuntu 18.10——Yaru主题

  速龙200GE超频到3.9GHz前后的性能变化,多线B+测评(一)装机过程

  配套教学课程,手把手教你深入浅出使用FPGA“创造”——高大上的SWORD4.0评测

  Arduino+ESP32,剑指全球开源市场?——MKR WiFi 1010评测

  Apple Watch Series 4拆解—看看为什么大家对这块手表爱得这么深