PHPerが知っておきたいPhar Deserializationという脆弱性の話以下の記事で「安全でないデシリアライゼーション」について紹介しました。 安全でないデシリアライゼーションも日本語の情報が少ないと感じますが、それの発展型であるPhar Deserializationは日本語の情報、特に入門的な内容のものが少ないです。 なかなか直感的な理解が難しいとは思いますが、最低限の理解を目指していきます。 記事の中でも触れましたが、PHPにはPharという複数のファイルをひとつにまとめるアーカイブの仕組みがあります。これを悪用することで意図しないオブジェクトを生成されてしまうという攻撃があります。(Phar Deserialization)。 WordPress5.7.2のセキュリティリリースやLaravelのデバッグモード有効時の脆弱性 は、このPhar Deserializationに関するものでした。 セキュリティ界隈では有名らしいですが、開発者の中では知ってる
