原标题:研究人员再揭PHP反序列化安全漏洞,恐使WordPress曝露远端程式攻击风险
图片来源:Secarma
来自英国资安公司Secarma的研究总监Sam△Thomas本月相继于黑帽(Black△Hat)及BSides两大安全会议上展示了PHP程式语言的反序化(Deserialization)安全漏洞,指出该漏洞影响所有接纳使用者资料的PHP应用程序与函式库,包括WordPress等内容管理系统(CMS)在内,成功的开采将允许远端程式攻击。
序列化(Serialization)与反序列化(Deserialization)是所有程式语言都具备的功能,序列化是将物件转成字串,以将资料迁移至不同的伺服器、服务或应用上,再通过反序列化将字串还原成物件。
资安研究人员Stefan△Essar在2009年时就曾揭露于PHP中反序列化骇客所控制资料的风险,而相关漏洞不仅存在于PHP,也存在于其它的程式语言,Thomas公布的是针对PHP的新攻击技术,可在各种场景中使用,诸如搭配XML△External△Entity(XEE)漏洞或伺服器端伪造请求(SSFR)漏洞等。
Thomas表示,过去外界认为XXE漏洞带来的最大问题就是资讯外泄,但现在却可能引发程式执行。相关的攻击分为两阶段,先是把一个含有恶意物件的Phar存档上传到攻击目标的本地端文件系统上,继之触发一个基于phar://并指涉该物件的文件操作,就能造成恶意程式执行。
Thomas已利用PHP的反序列化程序成功攻陷了WordPress与Typo3内容管理平台,以及Contao所采用的TCPDF函式库。
相关:
Marap通过恶意电子邮件散布。 图片来源: Proofpoint 资安业者Proofpoint上周揭露了一款锁定金融领域的新恶意程式Marap,Marap为一恶意程式下载器,在成功进驻系统之后,可再自C△C伺服器下载其它恶意模组,目前仅观
微软装置团队为Windows驱动程式开发人员释出,开源驱动程式模组框架(Driver△Module△Framework,DMF),微软通过驱动程式模组框架,开发简单和结构化的Windows驱动程式框架(Windows△Driver△Framework,WDF)驱动
参考《龙珠 Z》设计 方程式车队测试头戴式 HUD 显示 | 香港 UNWIRE.HK 玩生活.乐科技
动漫迷相信对《龙珠 Z》可以显示对手战斗力的眼前显示器有印象,未来在方程式赛车我们也有机会见到类似的设计。日前网站 Autosport 报道指,超级方程式车队 Dandelion Racing 设计了安装在车手头盔的新款 HUD 显示器
Chrome处理影音串流资讯漏洞可被用来开采使用者脸书隐私,研究人员呼吁应尽速更新
论及使用者上网,Chrome应该是最多人使用的浏览器了,然而,最近Imperva研究人员Ron△Masas揭露,这款浏览器采用的Blink引擎,对于 video△和 audio△等HTML语法标签的处理过程有瑕疵,导致有心人士能从中窃取使用者
Web Security事件发酵,Mozilla移除23个可疑Firefox外挂程式
示意图,与新闻事件无关。 图片来源: Firefox△add-ons 在传出Firefox的外挂程式Web△Security会纪录并传输用户所造访的每一个网页之后,Mozilla展开了清除行动,在周五(8/17)移除了包括Web△Security在内的23个