Insecure Deserialization trong PHP Insecure Deserialization: Là một lỗ hổng bảo mật cho phép kẻ tấn công (attacker) có thể chỉnh sửa, thay đổi kết cấu của các đối tượng (object) bằng cách tác động vào các untrust data khi tiến hành khi thực hiện Deserialize của ứng dụng. - Serialize: Khi dữ liệu muốn được lưu trữ, hay muốn truyền tải qua mạng hay một ứng dụng khác, người ta sẽ serialize dữ liệu tức là chuyển đổi dữ liệu gốc (orginal data) thành một mảng byte (byte stream). Điều này giúp cho việc chuyển tiếp dữ liệu đảm bảo được tính toàn vẹn, tối ưu hệ thống, tăng đáng kể tốc độ tính toán,... - Deserialize: Là quá trình ngược của Serialize, dùng để biến đổi mảng byte (byte stream) lại thành giữ liệu gốc dựa vào byte stream đã được cung cấp. Ý tưởng của việc tấn công này là sẽ cung cấp byte steam fake, khi ứng dụng des -> nó bị tấn công -------------------------------------------------------------- Lười sửa và viết, nào rảnh sửa lại Ví dụ về 1 bài insecure deserialize bằng PHP ...