在JSON API中将php序列化数据数组显示为值有多安全?
我有一个使用WP-restapi的客户端,一个较老的开发人员通过restapi为公众添加了一些元数据。数据包含重要的元键和几个序列化的数据数组,但没有一个是序列化的php对象 我很快就意识到这可能会给我们的客户网站带来潜在的安全风险 你认为这是安全风险吗?如果是,这会导致什么样的攻击 编辑: 该条()规定:在JSON API中将php序列化数据数组显示为值有多安全?,php,wordpress,rest,serialization,advanced-custom-fields,Php,Wordpress,Rest,Serialization,Advanced Custom Fields,我有一个使用WP-restapi的客户端,一个较老的开发人员通过restapi为公众添加了一些元数据。数据包含重要的元键和几个序列化的数据数组,但没有一个是序列化的php对象 我很快就意识到这可能会给我们的客户网站带来潜在的安全风险 你认为这是安全风险吗?如果是,这会导致什么样的攻击 编辑: 该条()规定: 序列化数据可以公开私有数据 序列化数据存在安全问题 更多信息:序列化数据存在安全问题 允许序列化数据允许输入任何自定义对象,这将导致在服务器上创建该对象。这本质上是一个远程代码执行漏洞,
- 序列化数据可以公开私有数据
- 序列化数据存在安全问题
虽然这两个插件都存在于WordPress安装中。似乎WP REST API根本不允许任何序列化数据。您基本上会问,数据的发布以何种方式显示该数据。这样的问题没有太多的意义,是吗?我问人们,如果他们认为在公共API中使用序列化数据数组可能是安全风险。英语不是我的主要语言。但我确实认为这样一个问题是有道理的。但这可能是一个措词不当的问题……数据发布的方式没有任何区别。问题是它是否出版。如果该API发布额外数据(仅用于内部目的),则不会发布其他数据,那么是的,这可能会显示额外的攻击向量。但请注意,CMS通常会发布post ID等,这根本不存在安全风险。但是,你应该记住,使用WordPress的任何页面构建都必须被认为是不安全的。我不认为发布页面ID是一个问题,尽管我不喜欢API为公众展示了内部元密钥。你基本上问数据发布的方式是什么样的数据。这样的问题没有太多的意义,是吗?我问人们,如果他们认为在公共API中使用序列化数据数组可能是安全风险。英语不是我的主要语言。但我确实认为这样一个问题是有道理的。但这可能是一个措词不当的问题……数据发布的方式没有任何区别。问题是它是否出版。如果该API发布额外数据(仅用于内部目的),则不会发布其他数据,那么是的,这可能会显示额外的攻击向量。但请注意,CMS通常会发布post ID等,这根本不存在安全风险。但是,你应该记住,使用WordPress的任何页面构建都必须被认为是不安全的。我不认为发布页面ID是一个问题,尽管我不喜欢API为公众展示了内部元密钥。