发新话题
打印

PHP unserialize()内存破坏和信息泄露漏洞

PHP unserialize()内存破坏和信息泄露漏洞

PHP是一种流行的WEB服务器端编程语言。 PHP unserialize()函数存在多个安全问题,远程攻击者可以利用这些漏洞进行缓冲区溢出攻击及获得文件信息。 unserialize()函数对输入缺少充分过滤,可导致内存破坏及信息泄露,如: "Segfault": ---cut here--- ---cut here--- 另外利用此函数也可导致任意代码执行并泄露问和系统信息: EXAMPLE script - "Memory Dump": ---cut here--- userinput */ $c = 's:30000:"crap";'; $userdata = unserialize($c); // // check $userdata stuff // for some reason output $userdata print $userdata . "\n is NOT valid !!\n"; // stuff ?> ---cut here---

TOP

发新话题