近日，在BlackHat 2018大會上公布了一種針對PHP應(yīng)用程序的全新攻擊技術(shù)。來自Secarma的安全研究員Sam Thomas分享了議題“It’s a PHP unserialization vulnerability Jim， but not as we know it”，利用phar文件會以序列化的形式存儲用戶自定義的meta-data這一特性，拓展了php反序列化漏洞的攻擊面。該方法在文件系統(tǒng)函數(shù)(file_exists()、is_dir()等)參數(shù)可控的情況下，配合phar://偽協(xié)議，可以不依賴unserialize()直接進(jìn)行反序列化操?...

特別聲明：本頁面標(biāo)簽名稱與頁面內(nèi)容，系網(wǎng)站系統(tǒng)為資訊內(nèi)容分類自動生成，僅提供資訊內(nèi)容索引使用，旨在方便用戶索引相關(guān)資訊報(bào)道。如標(biāo)簽名稱涉及商標(biāo)信息，請?jiān)L問商標(biāo)品牌官方了解詳情，請勿以本站標(biāo)簽頁面內(nèi)容為參考信息，本站與可能出現(xiàn)的商標(biāo)名稱信息不存在任何關(guān)聯(lián)關(guān)系，對本頁面內(nèi)容所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。站長之家將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。任何單位或個(gè)人認(rèn)為本頁面內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，可及時(shí)向站長之家提出書面權(quán)利通知或不實(shí)情況說明，并提權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明（點(diǎn)擊查看反饋聯(lián)系地址）。本網(wǎng)站在收到上述反饋文件后，將會依法依規(guī)核實(shí)信息，第一時(shí)間溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。