来自英国网络安全公司Secarma的研究总监Sam Thomas本月相继于黑帽(Black Hat)及BSides两大安全会议上展示了PHP程序语言的反序化(Deserialization )安全漏洞,指出该漏洞影响所有接纳用户数据的PHP应用程序与函数库,包括WordPress等内容管理系统(CMS)在内,成功的开采将允许远程程序攻击。
串行化(Serialization)与反串行化(Deserialization)是所有程序语言都具备的功能,串行化是将对象转成字符串,以将数据迁移至不同的服务器、服务或应用上,再通过反串行化将字符串还原成对象。
网络安全研究人员Stefan Essar在2009年时就曾披露于PHP中反串行化黑客所控制数据的风险,而相关漏洞不仅存在于PHP,也存在于其它的程序语言, Thomas公布的是针对PHP的新攻击技术,可在各种场景中使用,诸如搭配XML External Entity(XEE)漏洞或服务器端伪造请求(SSFR)漏洞等。
Thomas表示,过去外界认为XXE漏洞带来的最大问题就是信息外泄,但现在却可能引发程序执行。相关的攻击分为两阶段,先是把一个含有恶意对象的Phar存盘上传到攻击目标的本地端文件系统上,之后触发一个基于phar://并指涉该对象的文件操作,就能造成恶意程序执行。
Thomas已利用PHP的反串行化程序成功攻陷了WordPress与Typo3内容管理平台,以及Contao所采用的TCPDF函数库。