2016-10-24
3321
0
原文地址:http://drops.wooyun.org/tips/3911
PHP 在把数组序列化为 WDDX 结构的过程中,没有对数组的键名严格限制,导致可以伪造对象的 WDDX 结构。
i 序列化对象
PHP 在把对象序列化为 WDDX 结构时,会做如下处理:
#!cpp
static void php_wddx_serialize_object(wddx_packet *packet, zval *obj)
...
…继续阅读 »
最新评论
陆邀请码
test那个配置文件的路径在哪里啊
小山支持
Big Tree我和你一样的反应
8848666