Warum ist die Deserialisierung eines Objekts in PHP eine schlechte Idee?

Serialisierung in PHP ist eine Möglichkeit, ein PHP-Objekt in einen String umzuwandeln. Diese Zeichenfolge kann auf verschiedene Arten verwendet werden, z. B. zum Speichern in einer Datenbank oder zum Übergeben an eine andere Funktion. In der PHP-Dokumentation heißt es, dass dies praktisch ist, wenn PHP-Werte weitergegeben werden, ohne dass Typ und Struktur verloren gehen. Aber das Problem hatte ich noch nie. Vielleicht sehe ich es nicht.

<?php
$test = new User();
$test->name = "Denzyl";
echo serialize($test);
/// Output: O:4:"User":1:{s:4:"name";s:6:"Denzyl";}

Also, lasst uns die Zeichenfolge verdauen. Das o steht für Objekt und die folgende Zahl gibt die Länge des Objektnamens an. Die beiden Buchstaben s stehen für String und die Länge des Stringnamens.

Wenn Sie die Zeichenfolge zurück in PHP konvertieren müssen, rufen Sie die Funktion unserialize auf und übergeben Sie die Zeichenfolge als Parameter.

Beim Serialisieren eines Objekts werden automatisch zwei Methoden aufgerufen. __serialize() & __sleep(). Dadurch kann der Klassenautor etwas tun, bevor er das Objekt in einen String konvertiert.
Das bringt es auf den Punkt. Aber konzentrieren wir uns zunächst auf die Deserialisierung der Zeichenfolge. Dies bedeutet, dass Sie den String in ein echtes PHP-Objekt konvertieren, das später zur Laufzeit in Ihrem PHP-Code verwendet werden kann.

<?php

$string = 'O:8:"User":1:{s:4:"name";s:6:"Denzyl";}';
echo unserialize($string)->name;
/// Output: Denzyl

Die gleichen Funktionalitäten gelten auch für die Deserialisierung. Aber dieses Mal sind die beiden Methoden __unserialize() und __wakeup().

Aber warum ist das eine schlechte Idee?

Die Verwendung von unserialize ohne es zu wissen, kann zur Remote-Codeausführung führen. Deshalb sagen sie, man solle niemals einer Eingabe vertrauen.
Nehmen wir an, Sie sind faul und vertrauen einer zufälligen Eingabe und verketten mit dem serialisierten Objekt, damit Sie
können einen Wert innerhalb des Objekts ändern. BOOM, du kannst gehackt werden.

<?php
$username = $_GET['username'];
$serialized = 'O:8:"User":1:{s:4:"name";s:6:"' . $username . '";}';

Ich werde nicht erklären, wie man einen Exploit für so etwas schreibt. Einige Tools können automatisch eine Nutzlast für Sie generieren, und Sie können sich selbst als Skript-Kiddie bezeichnen (wir fangen alle irgendwo an). Das, das ich kenne, ist PHPGGC.

Um den Exploit zu verstehen, können Sie den OWASP-Artikel lesen.
Wenn Sie das noch nicht wussten, lesen Sie auch die restlichen OWASP-Artikel über Schwachstellen

Ich weiß, dass ich nicht erklärt habe, wie man einen Exploit schreibt. Ich glaube nicht, dass ich einen besseren Job machen kann als die Artikel im Internet. Aber jetzt wissen Sie es und können Ihre Recherche durchführen.

Wie lässt sich Ausbeutung verhindern?

Warum sollten Sie das nutzen? Ich weiß es nicht; Ich programmiere noch nicht lange genug (~15 Jahre), um die Möglichkeit zu haben, ein Problem mithilfe von Serialisieren/Unserialisieren zu lösen.
Meine Lösung ist zu drastisch. Die einfache Antwort ist. Verwenden Sie es nicht in meinen PHP-Projekten.

Dieser Artikel ist Teil einer Artikelserie auf meiner Reise zum Schreiben eines statischen Analysetools für PHP, das umfangreiche Projekte in wenigen Minuten/Sekunden scannen kann. Und achten Sie auf Regeln
die die Entwickler in ihren Projekten haben wollen. Zum Zeitpunkt des Schreibens dieses Artikels arbeite ich an einer Regel, um
zu stoppen Leute davon abhalten, unserialize zu verwenden, und es sollte für die nächste Version bereit sein. Verfolgen Sie das Projekt, damit Sie benachrichtigt werden, wenn
Ich beschloss, noch mehr Regeln zu schreiben.

Das obige ist der detaillierte Inhalt vonWarum ist die Deserialisierung eines Objekts in PHP eine schlechte Idee?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!