PHP编码安全：避免反序列化漏洞

gclome

PHP编码安全：避免反序列化漏洞               

反序列化漏洞也称为对象注入漏洞，即恶意攻击者利用PHP的对象序列化和反序列化进行攻击，将恶意数据注入PHP的代码中进行执行的漏洞。


在PHP中使用serialize()函数可以把变量，包括对象，转化成连续bytes数据。可以将序列化后的变量存在文件里或在网络上传输，然后通过unserialize()反序列化还原为原来的数据。由于传输过程中和存放的位置可能被恶意人员篡改，从而导致反序列化回来的对象数据可能携带有恶意攻击者精心构造的攻击逻辑。图1所示为反序列化漏洞。
​
图1  反序列化漏洞

大多数人都知道，__construct()函数和__destruct()函数会在对象创建或者销毁时自动调用，在程序执行前serialize()函数会首先检查对象是否存在一个魔术方法__sleep()。如果存在，则__sleep()方法会先被调用，然后才执行串行化（序列化）操作。__sleep()方法必须返回一个数组，包含需要串行化的属性，PHP会抛弃其他属性的值，如果没有__sleep()方法，PHP将保存所有属性。与之相反，unserialize()会检查是否存在一个__wakeup()方法。如果存在，则会先调用__wakeup()方法，预先准备对象数据。

1. <?php
   
2. 
   
3. classUser {
   
4. 
   
5. private $id,$username,$password;
   
6. 
   
7. publicfunction_construct($id,$username,$password)
   
8. 
   
9. {
   
10. 
    
11. $this->id=$id;
    
12. 
    
13. $this->username=$username;
    
14. 
    
15. $this->password=$password;
    
16. 
    
17. }
    
18. 
    
19. publicfunction_sleep()
    
20. 
    
21. {
    
22. 
    
23. returnarray('id','username','password');
    
24. 
    
25. }
    
26. 
    
27. publicfunction_wakeup()
    
28. 
    
29. {
    
30. 
    
31. $this->connect();
    
32. 
    
33. }
    
34. 
    
35. $user=newUser(110,'hacker','hackerPassword');
    
36. 
    
37. echo serialize($user);

复制代码

执行上面的代码，序列化User对象输出结果如图2所示。
​
图2  序列化结果

从序列化后的数据可以看出，恶意攻击者一旦截获序列化数据，理论上可以调用系统中任意可执行的类，同时也可以调用未定义的magic函数，例如对象调用一个不存在的函数，那么__call函数将被调用；如果试图访问类中不存在的类变量，__get和__set函数将被调用。如果项目系统使用的是开源框架或者代码被攻击者熟知，攻击者可以在服务器上执行任意命令。

避免反序列化漏洞最好的方法是，禁止将序列化后的数据进行网络传输，不要保存在容易被修改或拦截的地方，如Cookie、URL中。