研究人员再揭PHP反序列化安全漏洞，恐使WordPress曝露远端程式攻击风险,,序列化（Serial

原标题：研究人员再揭PHP反序列化安全漏洞，恐使WordPress曝露远端程式攻击风险

图片来源: Secarma 来自英国资安公司Secarma的研究总监Sam△Thomas本月相继于黑帽（Black△Hat）及BSides两大安全会议上展示了PHP程式语言的反序化（Deserialization）安全漏洞，指出该漏洞影响所有接纳使用者资料的...

图片来源:

Secarma

来自英国资安公司Secarma的研究总监Sam△Thomas本月相继于黑帽（Black△Hat）及BSides两大安全会议上展示了PHP程式语言的反序化（Deserialization）安全漏洞，指出该漏洞影响所有接纳使用者资料的PHP应用程序与函式库，包括WordPress等内容管理系统（CMS）在内，成功的开采将允许远端程式攻击。

序列化（Serialization）与反序列化（Deserialization）是所有程式语言都具备的功能，序列化是将物件转成字串，以将资料迁移至不同的伺服器、服务或应用上，再通过反序列化将字串还原成物件。

资安研究人员Stefan△Essar在2009年时就曾揭露于PHP中反序列化骇客所控制资料的风险，而相关漏洞不仅存在于PHP，也存在于其它的程式语言，Thomas公布的是针对PHP的新攻击技术，可在各种场景中使用，诸如搭配XML△External△Entity（XEE）漏洞或伺服器端伪造请求（SSFR）漏洞等。

Thomas表示，过去外界认为XXE漏洞带来的最大问题就是资讯外泄，但现在却可能引发程式执行。相关的攻击分为两阶段，先是把一个含有恶意物件的Phar存档上传到攻击目标的本地端文件系统上，继之触发一个基于phar://并指涉该物件的文件操作，就能造成恶意程式执行。

Thomas已利用PHP的反序列化程序成功攻陷了WordPress与Typo3内容管理平台，以及Contao所采用的TCPDF函式库。

橙山网（Csnd.net）简评：序列化（Serialization）与反序列化（Deserialization）是所有程式语言都具备的功能，序列化是将物件转成字串，以将资料迁移至不同的伺服器、服务或应用上，再通过反序列化将字串还原成