Web知識彙總(1)
1.phps檔案就是php檔案的原始碼檔案,通常用於提供給使用者檢視php程式碼,因為使用者無法直接透過Web瀏覽器看到php檔案的內容,所以需要用phps檔案代替。
2.burpsuite可以進行url的編解碼
3.瀏覽器本身會進行一次url解碼
4.反序列化漏洞
序列化是廣泛存在於PHP、Java等程式語言中的一種特有結構的物件/陣列轉化為無結構的字串並儲存資訊的一種技術。
·形成原因:程式未對使用者輸入的序列化字串進行檢測,導致攻擊者可以控制反序列化的過程,從而導致程式碼執行、檔案操作、執行資料庫操作等引數不可控。
PHP魔法函式(在一定情況下不需要被呼叫而可以自動呼叫):
(1)_wakeup()
在PHP中如果需要進行反序列化,會先檢查類中是否存在_wakeup函式,如果存在,則會先呼叫此類方法,預先準備物件需要的資源。
當被反序列化的字串其中對應的物件的屬性個數發生變化時,就會導致反序列化失敗同時使得wakeup()函式失效
(2)_destruct()
在物件的所有引用被刪除或類被銷燬時自動呼叫
(3)_construct()
在建立一個類的例項時自動呼叫
(4)_toString()
在類被當作字串時呼叫