国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁(yè)
  2. >Toy博客

php魔術(shù)方法和反序列化漏洞

2年前作者:EMT00923分類(lèi):Toy博客閱讀(34)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了php魔術(shù)方法和反序列化漏洞。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

什么是反序列化漏洞?

漏洞形成的根本原因就是程序沒(méi)有對(duì)用戶輸入的反序列化字符串進(jìn)行檢測(cè),導(dǎo)致反序列化過(guò)程可以被惡意控制,進(jìn)而造成代碼執(zhí)行、GetShell 等一系列不可控的后果。反序列化漏洞并不是PHP 特有的,也存在于Java、Python 語(yǔ)言中,其原理基本相同。

反序列化是字節(jié)流轉(zhuǎn)對(duì)象的過(guò)程,如果這個(gè)過(guò)程中沒(méi)有對(duì)用戶輸入的字符串進(jìn)行檢測(cè),就可能造成代碼執(zhí)行、RCE漏洞,php、Java中都有反序列化漏洞,由于Java中皆可對(duì)象,所以Java的反序列化漏洞比php更常見(jiàn)。

php魔術(shù)方法

php規(guī)定以兩個(gè)下劃線(__)開(kāi)頭的方法都保留為魔術(shù)方法
以__開(kāi)頭的函數(shù),是PHP 中的魔術(shù)方法。類(lèi)中的魔術(shù)方法,在特定情況下會(huì)自動(dòng)調(diào)用。即使魔術(shù)方法在類(lèi)中沒(méi)有被定義,也是真實(shí)存在的。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-698239.html

  • __destruct(),銷(xiāo)毀對(duì)象時(shí)會(huì)自動(dòng)調(diào)用,反序列化時(shí)也會(huì)被自動(dòng)調(diào)用
  • __construct(),創(chuàng)建對(duì)象時(shí)會(huì)自動(dòng)調(diào)用
  • __get(訪問(wèn)后門(mén)),問(wèn)私有成員屬性的時(shí)候自動(dòng)觸發(fā)(__get 函數(shù)只能進(jìn)行查看無(wú)法進(jìn)行修改。)
  • __set(),對(duì)私有成員屬性進(jìn)行設(shè)置值時(shí)自動(dòng)觸發(fā)
  • __isset,對(duì)私有成員屬性進(jìn)行 isset 進(jìn)行檢查時(shí)自動(dòng)觸發(fā)
  • __unset,對(duì)私有成員屬性進(jìn)行 unset 進(jìn)行檢查時(shí)自動(dòng)觸發(fā)

到了這里,關(guān)于php魔術(shù)方法和反序列化漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來(lái)自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 反序列化漏洞(PHP)

    反序列化漏洞(PHP)

    0x01. 序列化和反序列化是什么 序列化:變量轉(zhuǎn)換為可保存或傳輸?shù)淖址倪^(guò)程; 反序列化:把序列化的字符串再轉(zhuǎn)化成原來(lái)的變量使用 作用:可輕松地存儲(chǔ)和傳輸數(shù)據(jù),使程序更具維護(hù)性 0x02. 為什么會(huì)有序列化 序列化用于存儲(chǔ)或傳遞 PHP 的值的過(guò)程中,同時(shí)不丟失其類(lèi)型

    2024年02月06日
    瀏覽(19)
  • php反序列化漏洞基礎(chǔ)

    php反序列化漏洞基礎(chǔ)

    ????????序列化是將對(duì)象或類(lèi)轉(zhuǎn)換為字符串的過(guò)程 ,以便在程序運(yùn)行過(guò)程中對(duì)其進(jìn)行持久化存儲(chǔ)或傳輸?shù)牟僮?。在PHP中,序列化主要用于將類(lèi)對(duì)象或數(shù)組轉(zhuǎn)換成字節(jié)流的形式,以便于存儲(chǔ)在磁盤(pán)或傳輸?shù)狡渌到y(tǒng)。 ????????通過(guò) 序列化,可以將對(duì)象或類(lèi)轉(zhuǎn)換成一串字

    2024年01月20日
    瀏覽(37)

  • PHP反序列化漏洞原理

    1、原理: 序列化與反序列化是保證數(shù)據(jù)一致性的過(guò)程。 2、產(chǎn)生: 序列化與反序列化的過(guò)程中,用戶可控 如果反序列化的參數(shù)受到攻擊者的控制,就會(huì)產(chǎn)生漏洞。攻擊者可以通過(guò)修改參數(shù)個(gè)數(shù)等方式來(lái)控制反序列化過(guò)程,從而導(dǎo)致代碼執(zhí)行、SQL注入、目錄遍歷等不可控后果。

    2024年01月16日
    瀏覽(24)
  • 網(wǎng)絡(luò)安全之反序列化漏洞分析

    網(wǎng)絡(luò)安全之反序列化漏洞分析

    FastJson 是 alibaba 的一款開(kāi)源 JSON 解析庫(kù),可用于將 Java 對(duì)象轉(zhuǎn)換為其 JSON 表示形式,也可以用于將 JSON 字符串轉(zhuǎn)換為等效的 Java 對(duì)象分別通過(guò) toJSONString 和 parseObject/parse 來(lái)實(shí)現(xiàn)序列化和反序列化。 使用 對(duì)于序列化的方法 toJSONString() 有多個(gè)重載形式。 SerializeFeature : 通過(guò)設(shè)置

    2024年02月08日
    瀏覽(22)
  • 反序列化漏洞及PHP魔法函數(shù)

    反序列化漏洞及PHP魔法函數(shù)

    目錄 1、漏洞原理 2、序列化(以PHP語(yǔ)言為例) 3、反序列化 4、PHP魔法函數(shù) (1)__wakeup() (2)__destruct() (3)__construct() (4)__toString() (5)__get() (6)__call() PHP反序列化漏洞也叫PHP對(duì)象注入,形成的原因是程序未對(duì)用戶輸入的序列化字符串進(jìn)行檢測(cè),導(dǎo)致攻擊者可以控制反

    2024年02月04日
    瀏覽(35)
  • 網(wǎng)絡(luò)安全-JDBC反序列化漏洞與RCE

    網(wǎng)絡(luò)安全-JDBC反序列化漏洞與RCE

    ubuntu 20:ip 10.28.144.100,安裝docker、python3、docker-compose(可選)、Java(可選) windows11:ip 10.28.144.10,安裝了Java、wireshark、Navicat(可選)、IDEA(可選) Java中這些magic方法在反序列化的時(shí)候會(huì)自動(dòng)調(diào)用: readObject() readExternal() readResolve() readObjectNoData() validateObject() finalize() Java

    2024年02月10日
    瀏覽(23)

  • PHP反序列化漏洞-字符串逃逸

    字符串逃逸(閉合) 字符串逃逸(閉合)是一種在反序列化函數(shù)可控的情況下,通過(guò)修改序列化字符串中的敏感字符來(lái)達(dá)到字符串逃逸的方法。 具體而言,可以通過(guò)修改變量名等個(gè)數(shù),使得序列化字符串中的字符個(gè)數(shù)與實(shí)際變量值個(gè)數(shù)不一致 。由于反序列化機(jī)制要求字符串

    2024年01月20日
    瀏覽(23)
  • PHP反序列化漏洞之產(chǎn)生原因(題目練習(xí))

    PHP反序列化漏洞之產(chǎn)生原因(題目練習(xí))

    PHP反序列化漏洞又叫做PHP對(duì)象注入漏洞,是因?yàn)槌绦驅(qū)斎氲男蛄谢蟮淖址幚聿划?dāng)導(dǎo)致的。反序列化漏洞的成因在于代碼中的unserialize()接收參數(shù)可控,導(dǎo)致代碼執(zhí)行,SQL注入,目錄遍歷,getshell等后果。 一句話講曬就是: ?反序列化漏洞是由于unserialize函數(shù)接收到了

    2024年02月06日
    瀏覽(33)
  • PHP反序列化漏洞(最全面最詳細(xì)有例題)

    PHP反序列化漏洞(最全面最詳細(xì)有例題)

    靶場(chǎng)搭建: 所有例題靶場(chǎng)里面都有 直接把文件放在phpstudy的目錄下,或者用docker打開(kāi)都行 類(lèi)的結(jié)構(gòu),類(lèi)的內(nèi)容,實(shí)例化和賦值,類(lèi)的修飾符介紹 外部可以用調(diào)用public屬性,類(lèi)的內(nèi)部可以調(diào)用protected,public屬性成員屬性。都不能調(diào)用private屬性的成員 private屬性變量,會(huì)在其前面

    2024年02月10日
    瀏覽(34)
  • 38-WEB漏洞-反序列化之PHP&JAVA全解(下)

    38-WEB漏洞-反序列化之PHP&JAVA全解(下)

    序列化(Serialization):將對(duì)象的狀態(tài)信息轉(zhuǎn)換為可以存儲(chǔ)或傳輸?shù)男问降倪^(guò)程。在序列化期間,對(duì)象將其當(dāng)前狀態(tài)寫(xiě)入到臨時(shí)或持久性存儲(chǔ)區(qū)。 反序列化:從存儲(chǔ)區(qū)中讀取該數(shù)據(jù),并將其還原為對(duì)象的過(guò)程,成為反序列化。 1、主函數(shù): 調(diào)用序列化方法 將反序列化的的結(jié)果

    2024年01月25日
    瀏覽(26)

覺(jué)得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包