PHP 现反序列化漏洞，或使 WordPress 遭远程攻击-低调大师

PHP 现反序列化漏洞，或使 WordPress 遭远程攻击

2018-08-21 824

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞，并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库，包括 WordPress 等内容管理系统（CMS），并将允许远程程序攻击。

序列化（Serialization）与反序列化（Deserialization）是所有编程语言都具备的功能，序列化将对象转换为字符串，以将数据迁移到不同服务器，服务或应用程序上，然后通过反序列将字符串还原到对象。

安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险，而相关的漏洞不仅存在于 PHP 中，还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术，可用于各种场景，例如 XML External Entity（XEE）漏洞或服务器端伪造请求（SSFR）漏洞等。

Thomas 表示，过去外界认为 XXE 漏洞带来的最大问题是信息外泄，但现在可出发程序执行。相关攻击分为两个阶段。首先，将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统，然后触发一个基于 phar:// 的文件操作，就可能导致恶意程序执行。

Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台，以及 Contao 所采用的 TCPDF 库。

微信关注我们

原文链接：https://www.oschina.net/news/99165/php-unserialization-vulnerability

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Kotlin 普及度增加，代码质量比 Java 更高？

Google 在 I/O 2017 上宣布 Android 加入了对 Kotlin 编程语言的支持。如今，在所有开源的 Android 应用程序中，我们能发现有 12% 都是由 Kotlin 开发。Google 在 2017 年底表示 Kotlin 已经渗透了超过 17％的使用 IDE，Android Studio 3.0 开发的 Android 应用程序。 Kotlin是一个运行在 Java 虚拟机上的静态类型编程语言，于2012 年开源，采用 Apache 2.0 许可证。它与 Java 的语法不兼容，但设计成可以与 Java 代码互操作，可复用现有的 Java 类库，并且被认为所需代码量更少，而代码更少通常也意味着 bug 更少。Google 当时发布的 Android Studio 3.0 就添加了 Kotlin 支持，详情你可以看这里：重磅！Android Studio 3.0 正式版支持 Kotlin 一年后，法国 Valenciennes 大学的计算机科学家 Bruno Gois Mateus 和 Matias Martinez 发表了一篇论文《An Empirica...

2018-08-20

842

Rust 核心开发团队近日发表报告称，Rust 2018 的第一个版本将于 2018 年 12 月 6 日准备就绪，对应 Rust 1.31。在新标签下整合了自 Rust 2015 首次发布以来的大量新功能，进一步丰富了语言特性。 Rust 2018 将重点放在语言生产力的提升上，如，关注编译器性能，优化语言特性，进一步改进工具、库和文档等。Rust 2018 的部分语言新特性已在最近的 Rust 发布说明中公布，可能会出现在 Rust 1.31 正式版之前的版本中，其中包括：impl Trait、macros 2.0、SIMD 支持，生成器，非词汇生命周期（non-lexical lifetimes），async/await 支持和模块改造。最值得注意的是，Rust 2018 将在一定程度上放松其稳定性保证，为可能破坏现有 Rust 2015 代码的语言更改提供支持。例如，Rust 2018 将包含 try 关键字，这可能与某些代码中的函数或变量名称冲突。为了解决这个问题和其他类似可能出现的问题，并帮助开发者从 Rust 2015 过渡到 Rust 2018，Rust 将遵循 ...

2018-08-21

701

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。