PHP 反序列化漏洞,主要由于不当处理用户可控的序列化数据导致代码执行或敏感操作。
1. 序列化与反序列化
-
序列化:将对象转换为字符串(
serialize())class User {public $username = 'admin';public $isAdmin = true; } $obj = new User(); echo serialize($obj); // 输出:O:4:"User":2:{s:8:"username";s:5:"admin";s:7:"isAdmin";b:1;} -
反序列化:将字符串还原为对象(
unserialize())$data = 'O:4:"User":2:{s:8:"username";s:5:"admin";s:7:"isAdmin";b:1;}'; $obj = unserialize($data); echo $obj->username; // 输出 "admin"
2. 漏洞原理
当反序列化用户可控的数据时,攻击者可构造恶意对象,触发类中的魔术方法(如 __destruct(), __wakeup()),执行任意代码。
漏洞示例
class FileHandler {public $filename;public function __destruct() {// 对象销毁时删除文件unlink($this->filename);}
}// 攻击者构造的恶意序列化数据
$payload = 'O:11:"FileHandler":1:{s:8:"filename";s:9:"/etc/passwd";}';
$obj = unserialize($payload); // 反序列化触发 __destruct(),删除系统文件3. 常见攻击向量
-
魔术方法自动调用:
__construct():创建对象时调用__destruct():对象销毁时调用__wakeup():反序列化时调用__toString():对象被当作字符串使用时调用
-
POP链攻击:通过多个类的魔术方法串联实现复杂利用(Property-Oriented Programming)。
4. 防御措施
(1) 避免反序列化不可信数据
使用 json_encode()/json_decode() 替代序列化。
(2) 数据签名验证
对序列化数据进行签名,确保未被篡改:
$data = '序列化数据';
$signature = hash_hmac('sha256', $data, 'secret_key');
// 验证时检查签名是否匹配(3) 限制反序列化类
PHP 7.0+ 可使用 allowed_classes 参数限制允许的类:
$obj = unserialize($data, ['allowed_classes' => ['SafeClass']]);(4) 禁用危险魔术方法
检查代码中是否存在敏感魔术方法,避免在反序列化时触发危险操作。
(5) 更新PHP版本
及时修复已知漏洞(如 PHP 反序列化漏洞 CVE-2019-11043)。
5. 漏洞检测工具
- 静态分析:使用
phpcs、RIPS等工具扫描代码。 - 动态测试:通过模糊测试(Fuzzing)验证反序列化点是否可控。
