網站安全防護-PHP反序列化漏洞修復
先來說說序列化是什麼吧,序列化是將物件的狀態資訊轉換成可以儲存或傳輸的形式的過程。在序列化期間,將物件的當前狀態寫入臨時或永久儲存區。稍後,您可以通過從儲存區讀取或恢復物件的狀態重新建立物件。簡而言之,序列化是一種將一物件轉換為一個字串的方法,該字串可以以特定格式在程式之間跨平臺傳輸。
php的反序列化漏洞,php的盲點,也是一個常見的漏洞,這種漏洞充滿了一些場景,雖然有些很難呼叫,但是成功的後果很危險。漏洞形成的根本原因是沒有序列識別程式,從而導致序列字串的檢測。反序列化漏洞不僅僅存在於php中,而且還存在於java、python中。基本上是一樣的原理。在java反序列化中,呼叫反序列化的readobject方法isalized,並在不編寫readobject方法時引起漏洞。
因此,在開發過程中出現了共同的反序列化漏洞:可以繞過重寫物件輸入流物件的解析類方法中的檢測。使用第三方類的黑名單控制元件。雖然java比php更加嚴格,但幾乎不可能使用黑名單機制禁用大型應用程式中的所有危險物件。因此,如果在審計過程中發現使用黑名單過濾的程式碼,那麼大多數程式碼都有一兩條可以被利用的程式碼。而黑名單方法只能確保當前的安全性,如果稍後新增新的特性,可能會引入利用漏洞的新方法。因此黑名單不能保證序列化過程的安全性。事實上,大部分反序列化漏洞是由於使用不安全的基礎庫造成的。黑客gabriellawrence和chrisfrohoff於2015年發現的apachecommons集合庫,直接影響到大型框架,如weblogic、websphere、jboss、jenkins、opennms。脆弱性的影響直到今天才得到解決,如果大家有無法解決的網站漏洞修復問題可以去看看網站安全公司那邊,國內像Sinesafe,綠盟,啟明星辰都是網站安全公司解決漏洞問題的。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2710677/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站漏洞該如何修復 加強伺服器的安全防護網站伺服器
- 框架網站漏洞修復防護方法框架網站
- PrestaShop網站漏洞修復如何修復REST網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 網站漏洞測試php程式碼修復詳情網站PHP
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 網站被攻擊 如何修復網站漏洞網站
- thinkcmf 網站最新漏洞修復方法網站
- 網站被黑該怎麼修復漏洞網站
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- apache網站漏洞修復解決辦法Apache網站
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- ecshop漏洞修復以及如何加固ecshop網站安全網站
- 網站漏洞修復服務商關於越權漏洞分析網站
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站
- 如何修復被掛木馬的php網站PHP網站
- 網站漏洞修補之ECshop4.0跨站指令碼攻擊修復網站指令碼
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- 網站程式碼漏洞審計挖掘與修復方法網站
- 專家建議網站漏洞要及時修復網站
- 怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補網站SQL
- 修復跨站攻擊 phpPHP
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- phpcms網站漏洞修復遠端程式碼寫入快取漏洞利用PHP網站快取
- semcms網站漏洞挖掘過程與安全修復防範網站
- 網站安全防護 什麼是session安全網站Session
- 網站資料安全防護措施有哪些?網站
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 網站漏洞修復服務商對繞過認證漏洞的探討網站
- 區塊鏈app安全防護 滲透測試中發現的越權漏洞分析與修復區塊鏈APP
- 網站漏洞修復案例之Discuz!3.4最新版本網站
- 網站被攻擊 該如何做好網站的安全防護?網站
- 從滲透測試到漏洞掃描 看我們如何對網站做安全防護網站