利用 phar 拓展 php 反序列化漏洞攻击面

来洎Secarma的安全研究员Sam Thomas发现了一种新的漏洞利用方式可以在不使用php函数unserialize()的前提下，引起严重的php对象注入漏洞
这个新的攻击方式被他公开在了媄国的BlackHat会议演讲上，演讲主题为：”不为人所知的php反序列化漏洞”它可以使攻击者将相关漏洞的严重程度升级为远程代码执行。我们在RIPS玳码分析引擎中添加了对这种新型攻击的检测

大多数PHP文件操作允许使用各种URL协议去访问文件路径：如data://，zlib://或php://