PHP 现反序列化漏洞,或使 WordPress 遭远程攻击

达尔文
 达尔文
发布于 2018年08月21日
收藏 4

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库,包括 WordPress 等内容管理系统(CMS),并将允许远程程序攻击。

序列化(Serialization)与反序列化(Deserialization)是所有编程语言都具备的功能,序列化将对象转换为字符串,以将数据迁移到不同服务器,服务或应用程序上,然后通过反序列将字符串还原到对象。

安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险,而相关的漏洞不仅存在于 PHP 中,还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术,可用于各种场景,例如 XML External Entity(XEE)漏洞或服务器端伪造请求(SSFR)漏洞等。

Thomas 表示,过去外界认为 XXE 漏洞带来的最大问题是信息外泄,但现在可出发程序执行。相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。

Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台,以及 Contao 所采用的 TCPDF 库。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:PHP 现反序列化漏洞,或使 WordPress 遭远程攻击
加载中

精彩评论

eechen
eechen
相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。

一般的网站会执行上面的操作么?你见过允许其用户上传并打开Phar文档的么?
adslccn
adslccn
懵逼树上懵逼果,懵逼树下你和我。懵逼树前排排坐,一人一个懵逼果。
一脸懵逼点击来 一脸懵逼点出去
fancanjie
fancanjie
博客内容管理系统,也是内容管理系统的一种,而内容管理系统统称CMS。
c
crystalsis
虽然很多人把wordpress当作cms用,但是官方网站上可没用cms三个字母而是blog

最新评论(14

huimingdeng
huimingdeng
因公司网站使用WordPress开发,存在大量的bug,WordPress作为博客还是不错的,如果用其开发类似商城就脑袋开洞了。😭
zhjphp
zhjphp

引用来自“yuzhouliu”的评论

很久之前asp的程序代表着无处不在的漏洞,现在php占了这个位子
牙膏厂比这俩漏洞还多
yuzhouliu
yuzhouliu
很久之前asp的程序代表着无处不在的漏洞,现在php占了这个位子
游走的鱼

引用来自“crystalsis”的评论

虽然很多人把wordpress当作cms用,但是官方网站上可没用cms三个字母而是blog
有的 首页 title 就有cms
eechen
eechen
相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。

一般的网站会执行上面的操作么?你见过允许其用户上传并打开Phar文档的么?
adslccn
adslccn
懵逼树上懵逼果,懵逼树下你和我。懵逼树前排排坐,一人一个懵逼果。
一脸懵逼点击来 一脸懵逼点出去
eechen_
eechen_
假新闻,PHP没有漏洞!😌
lcccd
lcccd

引用来自“福嘞娃”的评论

wordpress很好用吗?为什么外国佬这么喜欢用这玩意
WordPress已经是一个平台了,有大量的资源
金拱门
金拱门

引用来自“crystalsis”的评论

虽然很多人把wordpress当作cms用,但是官方网站上可没用cms三个字母而是blog
wordpress做CMS肯定是没用过国内的CMS的才会这么选。
Shazi199
Shazi199
坐看弱智喷wordpress
返回顶部
顶部