您当前位置: 首页 » 十二月 2015
按日期归档: 十二月 2015

joomla对象注入漏洞

影响版本

from Joomla 1.5 up until 3.4.5

此漏洞无需登录,前台即可代码执行

一、session反序列化

php函数session_set_save_handler()
官方手册介绍如下:
参数 read()
read(string $sessionId)
如果会话中有数据,read 回调函数必须返回将会话数据编码(序列化)后的字符串。 如果会话中没有数据,read 回调函数返回空字符串。

readmore

2015年12月15日 | | 未分类

评论关闭