反序列化渗透与攻防(一)之PHP反序列化漏洞

前言
序列化和反序列化几乎是工程师们每天都要面对的事情，但是要精确掌握这两个概念并不容易：一方面，它们往往作为框架的一部分出现而湮没在框架之中；另一方面，它们会以其他更容易理解的概念出现，例如加密、持久化。

然而，序列化和反序列化的选型却是系统设计或重构一个重要的环节，在分布式、大数据量系统设计里面更为显著。恰当的序列化协议不仅可以提高系统的通用性、强健性、安全性、优化系统性能，而且会让系统更加易于调试、便于扩展。

互联网的产生带来了机器间通讯的需求，而互联通讯的双方需要采用约定的协议，序列化和反序列化属于通讯协议的一部分。

PHP反序列化漏洞

PHP类与对象

PHP是面向对象的程序设计语言。

在现实世界里我们所面对的事情都是对象，如计算机、电视机、自行车等。比如 Animal(动物) 是一个抽象类，我们可以具体到一只狗跟一只羊，而狗跟羊就是具体的对象，他们有颜色属性，可以写，可以跑等行为状态。

对象的主要三个特性：

• 对象的行为：可以对对象施加那些操作，开灯，关灯就是行为。
• 对象的形态：当施加那些方法是对象如何响应，颜色，尺寸，外型。
• 对象的表示：对象的表示就相当于身份证，具体区分在相同的行为与状态下有什么不同。

PHP面向对象

• 类࿱