CVE-2020-15148漏洞的详细分析及影响有哪些?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1117个文字,预计阅读时间需要5分钟。
目录 + 基础知识 + Yii2 + 魔术方法 + 漏洞分析 + 结构图 + 基础知识 + 在学习漏洞之前,我们需要学习一些前置知识来更好地理解漏洞的产生原因以及如何利用。首先,我们来学习一下框架的基本信息。
目录
- 基础知识
- Yii2
- 魔术方法
- 漏洞分析
- 结语
基础知识
在学习该漏洞之前我们需要学习一下前置知识来更好的理解该漏洞的产生原因以及如何利用。 我们先来学习一下框架的基本信息以及反序列化漏洞的基本利用过程。
Yii2
Yii是一个基于组件的高性能PHP框架,用于开发大型Web应用。Yii采用严格的OOP编写,并有着完善的库引用以及全面的教程。而CVE-2020-15148则是在其版本YII2.0.38之前的一个反序列化漏洞,该漏洞在调用unserialize时,攻击者可通过构造特定的恶意请求执行任意命令,这也是常见的反序列化漏洞的利用过程。
魔术方法
提到PHP反序列化一定离不开魔术方法,这些方法通常会在达到一些特殊条件后就会执行,举个例子:
__construct() //新建对象时调用
我们编写下面的代码:
当我们执行时new了一个类,这就会调用里面的魔术方法,从而输出语句。
本文共计1117个文字,预计阅读时间需要5分钟。
目录 + 基础知识 + Yii2 + 魔术方法 + 漏洞分析 + 结构图 + 基础知识 + 在学习漏洞之前,我们需要学习一些前置知识来更好地理解漏洞的产生原因以及如何利用。首先,我们来学习一下框架的基本信息。
目录
- 基础知识
- Yii2
- 魔术方法
- 漏洞分析
- 结语
基础知识
在学习该漏洞之前我们需要学习一下前置知识来更好的理解该漏洞的产生原因以及如何利用。 我们先来学习一下框架的基本信息以及反序列化漏洞的基本利用过程。
Yii2
Yii是一个基于组件的高性能PHP框架,用于开发大型Web应用。Yii采用严格的OOP编写,并有着完善的库引用以及全面的教程。而CVE-2020-15148则是在其版本YII2.0.38之前的一个反序列化漏洞,该漏洞在调用unserialize时,攻击者可通过构造特定的恶意请求执行任意命令,这也是常见的反序列化漏洞的利用过程。
魔术方法
提到PHP反序列化一定离不开魔术方法,这些方法通常会在达到一些特殊条件后就会执行,举个例子:
__construct() //新建对象时调用
我们编写下面的代码:
当我们执行时new了一个类,这就会调用里面的魔术方法,从而输出语句。