PHP 现反序列化漏洞,或使 WordPress 遭远程攻击

2018年08月21日

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库,包括 WordPress 等内容管理系统(CMS),并将允许远程程序攻击。

序列化(Serialization)与反序列化(Deserialization)是所有编程语言都具备的功能,序列化将对象转换为字符串,以将数据迁移到不同服务器,服务或应用程序上,然后通过反序列将字符串还原到对象。

安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险,而相关的漏洞不仅存在于 PHP 中,还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术,可用于各种场景,例如 XML External Entity(XEE)漏洞或服务器端伪造请求(SSFR)漏洞等。

Thomas 表示,过去外界认为 XXE 漏洞带来的最大问题是信息外泄,但现在可出发程序执行。相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。

Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台,以及 Contao 所采用的 TCPDF 库。

展开阅读全文
4 收藏
分享
加载中
精彩评论
相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。

一般的网站会执行上面的操作么?你见过允许其用户上传并打开Phar文档的么?
2018-08-21 10:31
2
举报
懵逼树上懵逼果,懵逼树下你和我。懵逼树前排排坐,一人一个懵逼果。
一脸懵逼点击来 一脸懵逼点出去
2018-08-21 10:31
1
举报
博客内容管理系统,也是内容管理系统的一种,而内容管理系统统称CMS。
2018-08-21 09:27
1
举报
虽然很多人把wordpress当作cms用,但是官方网站上可没用cms三个字母而是blog
2018-08-21 08:39
1
举报
最新评论 (14)
因公司网站使用WordPress开发,存在大量的bug,WordPress作为博客还是不错的,如果用其开发类似商城就脑袋开洞了。😭
2018-08-23 09:21
0
回复
举报

引用来自“yuzhouliu”的评论

很久之前asp的程序代表着无处不在的漏洞,现在php占了这个位子
牙膏厂比这俩漏洞还多
2018-08-23 09:02
0
回复
举报
很久之前asp的程序代表着无处不在的漏洞,现在php占了这个位子
2018-08-21 17:17
0
回复
举报

引用来自“crystalsis”的评论

虽然很多人把wordpress当作cms用,但是官方网站上可没用cms三个字母而是blog
有的 首页 title 就有cms
2018-08-21 15:38
0
回复
举报
相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。

一般的网站会执行上面的操作么?你见过允许其用户上传并打开Phar文档的么?
2018-08-21 10:31
2
回复
举报
懵逼树上懵逼果,懵逼树下你和我。懵逼树前排排坐,一人一个懵逼果。
一脸懵逼点击来 一脸懵逼点出去
2018-08-21 10:31
1
回复
举报
假新闻,PHP没有漏洞!😌
2018-08-21 10:06
0
回复
举报

引用来自“福嘞娃”的评论

wordpress很好用吗?为什么外国佬这么喜欢用这玩意
WordPress已经是一个平台了,有大量的资源
2018-08-21 10:00
0
回复
举报

引用来自“crystalsis”的评论

虽然很多人把wordpress当作cms用,但是官方网站上可没用cms三个字母而是blog
wordpress做CMS肯定是没用过国内的CMS的才会这么选。
2018-08-21 09:46
0
回复
举报
坐看弱智喷wordpress
2018-08-21 09:37
0
回复
举报
更多评论
14 评论
4 收藏
分享
在线直播报名
返回顶部
顶部