Web安全漏洞及代码审计（第2版）（微课版）备课教案 第十一章 靶机反序列化漏洞与审计.docx

《Web安全漏洞及代码审计（第2版）（微课版）》课程教案

课题：靶机反序列化漏洞与审计

教学目的：

知识目标：掌握反序列化漏洞的产生机制，包括对象反序列化过程中的危险操作、魔术方法调用、POP链构造等核心原理。学习不同编程语言（Java、PHP、Python等）环境下的反序列化攻击手法，理解Payload构造方法和利用链挖掘技巧。掌握反序列化漏洞的修复方案，包括白名单验证、签名校验、禁用危险类、最小权限原则等核心防御措施。

能力目标：通过靶机环境实践，培养发现、验证和利用反序列化漏洞的实际操作能力，掌握ysoserial、phpggc等工具的使用。培养代码审计思维，能够识别反序列化操作