Web安全漏洞及代码审计（第2版）：靶机反序列化漏洞与审计PPT教学课件.pptx

靶机反序列化漏洞与审计项目11Web安全漏洞及代码审计（第2版）（微课版）

01项目知识准备

项目知识准备01当程序对用户输入的内容（不可信数据）进行反序列化处理时，攻击者可以通过构造恶意输入，利用反序列化产生非预期的对象，而非预期的对象在产生过程中就会造成反序列化漏洞。漏洞介绍一基础知识二1．序列化与反序列化在PHP中，可以通过序列化与反序列化很方便地进行对象的传递，轻松地存储和传输数据。从本质上来说，这并不存在安全隐患，但是由于用户可以控制输入的序列化内容，即用户可以传入恶意的序列化数据，因此程序在对恶意数据进行反序列化处理时就可能存在安全风险。常见的PHP序列化和反序列化方式主要包括使用