RSS订阅
登陆
注册

PHP

由浅入深剖析序列化攻击(一)

11

luhua 发布于 2019-08-09

前言 近期因为内部培训有序列化的需求,于是趁此机会由浅入深的剖析一下序列化相关内容。 之前也写过由浅入深的xml漏洞系列,欢迎阅读: https://skysec.top/2018/08/17/浅析xml及其安全问题/ https://skysec.top/2018/08/18/...

阅读(139)评论(0)赞 (0)

由浅入深剖析序列化攻击(二)

22

luhua 发布于 2019-08-09

前言 之前写了一篇文章介绍序列化概念和两种常见攻击:1.魔法方法,2.session序列化引擎。 本篇文章继续深入,介绍另外方法:原生类序列化问题。 原生类同名函数 问题引入 什么是原生类同名函数攻击漏洞呢?我们不妨看如下代码: class UploadFile { fu...

阅读(149)评论(0)赞 (0)

实战工具:PHPGGC详解

20

luhua 发布于 2019-08-09

今天我们来分析一下php序列化的武器库:PHPGGC。 PHPGGC是一款能够自动生成主流框架的序列化测试payload的工具,类似Java中的ysoserial,支持大量主流框架的序列化exp一键生成。 但因为工具作者的时间有限,不能做到实时更新。而本文旨在分析phpggc原理...

阅读(126)评论(0)赞 (0)

PHP三大经典设计模式

luhua 发布于 2019-08-09

单例模式 单例模式的含义:作为对象的创建模式,单例模式确保某一个类只有一个实例,而且自行实例化并向整个系统全局地提供这个实例。它不会创建实例副本,而是会向单例类内部存储的实例返回一个引用。 单例模式的三个要素:1.保存类唯一实例的静态变量。2.构造函数和克隆函数必须是私有的,放在...

阅读(138)评论(0)赞 (0)

TarsPHP 新版本发布,支持 Protobuf 协议

13

luhua 发布于 2019-08-09

作者丨张勇 TARS是腾讯从2008年到今天一直在使用的微服务开发框架,2018年成为Linux基金会开源项目目前支持PHP、C++、Java、Nodejs与Go语言。该框架为用户提供了涉及到开发、运维,以及测试的一整套解决方案,帮助一个产品或者服务快速开发、部署、测试、上线。它...

阅读(130)评论(0)赞 (0)

关于PHP加解密之终扯到ECDH了(API安全加强篇三)

6

luhua 发布于 2019-08-08

其实,前面两篇翻来覆去只为叨逼叨叨逼叨两件事情: 对称加解密,典型算法有AES、DES、3DES等等 非对称加解密,典型的算法有RSA、DSA、ECDH等等 但是,我知道大家最讨厌在看这种文章的时候冒出来的一坨“椭圆曲线”、“素数”、“质数”等等这样的玩意,反正看也看不懂,理解也...

阅读(208)评论(0)赞 (0)

关于PHP加解密的懒汉入门篇(API安全加强篇一)

6

luhua 发布于 2019-08-08

懒汉 入门 这两点就足以说明这篇文章不想要着有什么高端大气的技术内容,我跟你讲,全是水。不可能有什么质数素数、椭圆曲线加密、迪菲-赫尔曼什么的,不可能有的。 首先我不懂,其次,反正你们也不懂。 不过这里还是要先说一点儿,就是很多泥腿子一直拿md5当加密算法来看待,但实际上md5是...

阅读(230)评论(0)赞 (0)

深入PHP 7.4之类型属性实例详解

4

luhua 发布于 2019-08-08

根据PHP RFC日程,PHP 7.4预期将会在今年11月份,当然接下来PHP 8被也已经上了历程。7.4将至,PHP 8可期!那么即将到来PHP 7.4有啥新特性和功能呢?本文以虫虫以类型方面的增强来予以介绍和大家一起学习。 概述 PHP 7.4为了增强类型新增加了类型化的...

阅读(188)评论(0)赞 (0)

关于PHP加解密的青年抬高篇(API安全加强篇二)

10

luhua 发布于 2019-08-08

为什么标题总是要带上“API安全”关键字呢?因为我想我乐意。 实际上这一篇和上一篇均可以看作是《关于PHP加解密的懒汉入门篇(API安全加强篇一)》》”)的后续,只不过侧重点在于安全上。 如果说,你没有看上篇,你一定回去看,不然一定会断篇儿! 为了避免文章陷入过于抽象...

阅读(67)评论(0)赞 (0)

TarsPHP 新版本发布,支持 Protobuf 协议

13

luhua 发布于 2019-08-08

作者丨张勇 编辑丨TARS小助手 TARS是腾讯从2008年到今天一直在使用的微服务开发框架,2018年成为Linux基金会开源项目目前支持PHP、C++、Java、Nodejs与Go语言。该框架为用户提供了涉及到开发、运维,以及测试的一整套解决方案,帮助一个产品或者服务快速开发...

阅读(178)评论(0)赞 (0)