這期內容當中小編將會給大家?guī)碛嘘PPHP中怎么利用pikachu反序列化漏洞，文章內容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

成都創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務領域包括：成都做網(wǎng)站、網(wǎng)站制作、成都外貿網(wǎng)站建設、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務，滿足客戶于互聯(lián)網(wǎng)時代的蠡縣網(wǎng)站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴！

PHP反序列化漏洞

簡介：

php程序為了保存和轉儲對象，提供了序列化的方法，php序列化是為了在程序運行的過程中對對象進行轉儲而產(chǎn)生的。序列化可以將對象轉換成字符串，但僅保留對象里的成員變量，不保留函數(shù)方法。

PHP serialize() 函數(shù)

serialize() 函數(shù)用于序列化對象或數(shù)組，并返回一個字符串。

serialize() 函數(shù)序列化對象后，可以很方便的將它傳遞給其他需要它的地方，且其類型和結構不會改變。如果想要將已序列化的字符串變回 PHP 的值，可使用 unserialize()。

PHP unserialize() 函數(shù)

unserialize() 函數(shù)用于將通過 serialize() 函數(shù)序列化后的對象或數(shù)組進行反序列化，并返回原始的對象結構。

序列化serialize()

通俗點講就是把一個對象變成可以傳輸?shù)淖址?/p>

反序列化unserialize()

就是把被序列化的字符串還原為對象,然后在接下來的代碼中繼續(xù)使用。

產(chǎn)生原因：

序列化和反序列化本身沒有問題,但是如果反序列化的內容是用戶可以控制的,且后臺不正當?shù)氖褂昧薖HP中的魔法函數(shù),就會導致安全問題

輸入payload：O:1:"S":1:{s:4:"test";s:29:"";}  會進行XSS彈窗

PHP反序列化一般是在代碼審計的時候發(fā)現(xiàn)，其他的情況并不容易被發(fā)現(xiàn)。

上述就是小編為大家分享的PHP中怎么利用pikachu反序列化漏洞了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道。