網站安全防護-PHP反序列化漏洞修復

先來說說序列化是什麼吧，序列化是將物件的狀態資訊轉換成可以儲存或傳輸的形式的過程。在序列化期間，將物件的當前狀態寫入臨時或永久儲存區。稍後，您可以透過從儲存區讀取或恢復物件的狀態重新建立物件。簡而言之，序列化是一種將一物件轉換為一個字串的方法，該字串可以以特定格式在程式之間跨平臺傳輸。

php的反序列化漏洞，php的盲點，也是一個常見的漏洞，這種漏洞充滿了一些場景，雖然有些很難呼叫，但是成功的後果很危險。漏洞形成的根本原因是沒有序列識別程式，從而導致序列字串的檢測。反序列化漏洞不僅僅存在於php中，而且還存在於java、python中。基本上是一樣的原理。在java反序列化中，呼叫反序列化的readobject方法isalized，並在不編寫readobject方法時引起漏洞。

因此，在開發過程中出現了共同的反序列化漏洞：可以繞過重寫物件輸入流物件的解析類方法中的檢測。使用第三方類的黑名單控制元件。雖然java比php更加嚴格，但幾乎不可能使用黑名單機制禁用大型應用程式中的所有危險物件。因此，如果在審計過程中發現使用黑名單過濾的程式碼，那麼大多數程式碼都有一兩條可以被利用的程式碼。而黑名單方法只能確保當前的安全性，如果稍後新增新的特性，可能會引入利用漏洞的新方法。因此黑名單不能保證序列化過程的安全性。事實上，大部分反序列化漏洞是由於使用不安全的基礎庫造成的。駭客gabriellawrence和chrisfrohoff於2015年發現的apachecommons集合庫，直接影響到大型框架，如weblogic、websphere、jboss、jenkins、opennms。脆弱性的影響直到今天才得到解決，如果大家有無法解決的網站漏洞修復問題可以去看看網站安全公司那邊，國內像Sinesafe,綠盟，啟明星辰都是網站安全公司解決漏洞問題的。