英國安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全會議上展示了 PHP 編程語言的安全漏洞，并指出該漏洞影響了所有接受用戶資料的 PHP 應用程序和庫，包括 WordPress 等內容管理系統（CMS），并將允許遠程程序攻擊。

　　序列化（Serialization）與反序列化（Deserialization）是所有編程語言都具備的功能，序列化將對象轉換為字符串，以將數據遷移到不同服務器，服務或應用程序上，然后通過反序列將字符串還原到對象。

　　安全研究員 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的數據帶來的風險，而相關的漏洞不僅存在于 PHP 中，還存在于其他編程語言中。 Thomas 公布的是 PHP 的新攻擊技術，可用于各種場景，例如 XML External Entity（XEE）漏洞或服務器端偽造請求（SSFR）漏洞等。

　　Thomas 表示，過去外界認為 XXE 漏洞帶來的最大問題是信息外泄，但現在可出發程序執行。相關攻擊分為兩個階段。 首先，將包含惡意對象的 Phar 存檔上傳到攻擊目標的本地文件系統，然后觸發一個基于 phar:// 的文件操作，就可能導致惡意程序執行。

　　Thomas 已利用 PHP 的反序列化程序成功攻擊了 WordPress 與 Typo3 內容管理平臺，以及 Contao 所采用的 TCPDF 庫。

責任編輯：韓希宇