Web前置知識(1)

‰1發表於2024-05-21

Web知識彙總(1)

1.phps檔案就是php檔案的原始碼檔案,通常用於提供給使用者檢視php程式碼,因為使用者無法直接透過Web瀏覽器看到php檔案的內容,所以需要用phps檔案代替。

2.burpsuite可以進行url的編解碼

3.瀏覽器本身會進行一次url解碼

4.反序列化漏洞

序列化是廣泛存在於PHP、Java等程式語言中的一種特有結構的物件/陣列轉化為無結構的字串並儲存資訊的一種技術。

·形成原因:程式未對使用者輸入的序列化字串進行檢測,導致攻擊者可以控制反序列化的過程,從而導致程式碼執行、檔案操作、執行資料庫操作等引數不可控。

PHP魔法函式(在一定情況下不需要被呼叫而可以自動呼叫):

(1)_wakeup()

在PHP中如果需要進行反序列化,會先檢查類中是否存在_wakeup函式,如果存在,則會先呼叫此類方法,預先準備物件需要的資源。

當被反序列化的字串其中對應的物件的屬性個數發生變化時,就會導致反序列化失敗同時使得wakeup()函式失效

(2)_destruct()

在物件的所有引用被刪除或類被銷燬時自動呼叫

(3)_construct()

在建立一個類的例項時自動呼叫

(4)_toString()

在類被當作字串時呼叫

相關文章