探究 PHP 反序列化漏洞及防範

隨著網路技術的快速發展，Web應用也已經變得越來越普遍和重要。然而，由於用戶許可權系統、輸入驗證機制和數據過濾不完善等安全問題，Web應用程序很容易遭受攻擊。其中，反序列化漏洞是常見並且嚴重的一類漏洞。本篇文章將針對 PHP 反序列化漏洞進行探討，從原理、案例、風險分析以及對策等幾個方面進行詳細的闡述。希望對初學者和從業者們有所幫助。

一、什麼是 PHP 反序列化漏洞？

序列化是將數據結構存儲到文件或者保存到會話中的一種方法，通過序列化，我們可以將數據結構進行打包，從而可以進行存儲和傳輸。常見的序列化方式有 JSON 和 PHP 的序列化。然而，反序列化則是將打包之後的數據結構解開還原成了一個對象。

由此，反序列化漏洞就很好解釋了。攻擊者通過構造惡意的序列化數據，然後在目標網站解序列化數據時，跟據攻擊者的設置，獲得了一定的許可權。從而利用該許可權來進行一系列攻擊。

二、案例分析——ShopGives 反序列化漏洞

//代碼示例
class Asset {
    private $id;
    private $thumb;
    private $size;
    private $filetype;
    private function __construct() {}
    private function __sleep() {}
    private function __wakeup() {}
    public static function generateAsset($path) {
        $asset = new Asset();
        $asset->id = 'ABCDEFGH12345678';
        $asset->thumb = base64_encode(file_get_contents($path . '/thumb.jpeg'));
        $asset->size = filesize($path . '/fullsize.jpeg');
        $asset->filetype = mime_content_type($path . '/fullsize.jpeg');
        return $asset;
    }
    public function show() {
        header('Content-Type: ' . $this->filetype);
        echo base64_decode($this->thumb);
    }
}

class Wish {
    public $name;
    public $desc;
    public $item;
    public function __construct($item) {
        $this->name = 'My Wish List';
        $this->desc = 'This is a list of items I want to have!';
        $this->item = $item;
    }
}

if (isset($_COOKIE['wishlist'])) {
    $encoded = $_COOKIE['wishlist'];
    $cleaned = preg_replace('/[^a-zA-Z0-9\/+=]/', '', $encoded);
    $data = base64_decode($cleaned);
    if ($data != "1") {
        $wishlist = unserialize($data);
    }
}

上述代碼是 ShopGives 原始網站的一個漏洞示例。該網站為用戶提供心愿清單的功能，支持將商品加入心愿清單中並且匿名分享給朋友，幫助朋友贈送禮物。在上述示例中，我們可以看到該網站使用了 PHP 的序列化功能，將心愿清單的數據結構序列化到了 cookie 中。其中，我們可以定位出漏洞在文件 CookieHandler.php 的第15行，使用了 PHP 的反序列化函數 unserialize。

攻擊者可以利用反序列化漏洞構造一個惡意的數據序列，當管理員解包惡意序列時，攻擊者就可以通過該序列控制整個 Web 應用程序的行為。其中，攻擊成功之後的表現形式很多樣，如突破許可權、設置後門、加密勒索等等。

三、風險分析及防範措施

對於反序列化漏洞的風險分析，首先需要強調的是該漏洞屬於高危漏洞。一旦被攻擊者利用成功，會對整個 Web 應用程序造成致命損害。通過上述案例我們可以看到，一些常用的序列化函數（例如 unserialize）本質上都是將序列化的字元串轉化為 PHP 對象，序列化字元串中所包含的所有數據都能直接地反映在 PHP 對象中。這使得攻擊者可以通過構造惡意序列來實現危害。反序列化漏洞具有以下的特點：

1. 常見的序列化函數都會把所有數據都反映到 PHP 對象中，攻擊者可以構造數據以達到自己的目的；

2. PHP 序列化的數據可以存儲或在網路上傳輸，使得攻擊者有較大的可掌握時間並且可以竊取重要的 Cookie；

3. 如有惡意用戶操縱對象序列，會使 PHP 反序列化函數調用 PHP 對象的 __wakeup 或 __destruct 方法，導致調用執行的代碼暴露在黑客手中。

要防範反序列化漏洞，需要採取措施對 PHP 序列化/反序列化操作進行限制，開發者在實現序列化的時候，也應該注意以下幾點：

1. 不使用 unserialize 函數反序列化用戶輸入的數據；

2. 對開發中使用的元素進行正確的序列化；

3. 對 PHP 已經序列化的數據進行合法性驗證，例如反序列化的字元長度、域範圍、合法字元等等；

4. 序列化/反序列化安全性審查。

在實踐中，最好的解決方法是不使用 PHP 白名單的魔術函數來代替標準魔術方法 __wakeup 和 __destruct。如果在某些情況下需要使用標準魔術函數，則應在類代碼中隨時注釋這些代碼。另外，還可以通過使用相對絕對路徑的類名來保護應用程序不受攻擊。

四、總結

本篇文章詳細地介紹了 PHP 反序列化漏洞及防範。我們通過 ShopGives 的案例來深入了解反序列化漏洞的危害，以及背後的原理等重要知識點。作為一個開發人員，了解Web 應用程序的安全漏洞和攻擊方式是必不可少的。通過本文的閱讀，希望讀者們能夠提高 Web 應用系統的安全性防範意識，提高對前端的技術認識，促進自身的職業發展。