圖片來源: 

Secarma

來自英國資安公司Secarma的研究總監Sam Thomas本月相繼於黑帽(Black Hat)及BSides兩大安全會議上展示了PHP程式語言的反序化(Deserialization)安全漏洞,指出該漏洞影響所有接納使用者資料的PHP應用程式與函式庫,包括WordPress等內容管理系統(CMS)在內,成功的開採將允許遠端程式攻擊。

序列化(Serialization)與反序列化(Deserialization)是所有程式語言都具備的功能,序列化是將物件轉成字串,以將資料遷移至不同的伺服器、服務或應用上,再透過反序列化將字串還原成物件。

資安研究人員Stefan Essar在2009年時就曾揭露於PHP中反序列化駭客所控制資料的風險,而相關漏洞不僅存在於PHP,也存在於其它的程式語言,Thomas公布的是針對PHP的新攻擊技術,可在各種場景中使用,諸如搭配XML External Entity(XEE)漏洞或伺服器端偽造請求(SSFR)漏洞等。

Thomas表示,過去外界認為XXE漏洞帶來的最大問題就是資訊外洩,但現在卻可能引發程式執行。相關的攻擊分為兩階段,先是把一個含有惡意物件的Phar存檔上傳到攻擊目標的本地端文件系統上,繼之觸發一個基於phar://並指涉該物件的文件操作,就能造成惡意程式執行。

Thomas已利用PHP的反序列化程序成功攻陷了WordPress與Typo3內容管理平台,以及Contao所採用的TCPDF函式庫。


Advertisement

更多 iThome相關內容