Upgrade to Pro — share decks privately, control downloads, hide ads and more …

デシリアライゼーションを理解する / Inside Deserialization

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for HASEGAWA Tomoki HASEGAWA Tomoki
April 09, 2026
Technology
17
0

デシリアライゼーションを理解する / Inside Deserialization

PHPカンファレンス小田原2026の資料です

Avatar for HASEGAWA Tomoki

HASEGAWA Tomoki

April 09, 2026

More Decks by HASEGAWA Tomoki

See All by HASEGAWA Tomoki
PHPer Book Revue: CPUの創りかた / How to Build a CPU
Avatar for HASEGAWA Tomoki tomzoh
0
55
超入門3Dプリンタ: 生活を便利にするモノを作ろう / Getting Started with 3D Printing: Making small things that quietly improve your daily life.
Avatar for HASEGAWA Tomoki tomzoh
0
74
最新ハードウェアの中の8ビットCPU / The Hidden Power of 8-Bit CPUs in Modern Hardware
Avatar for HASEGAWA Tomoki tomzoh
0
96
PHPからはじめるコンピュータアーキテクチャ / From Scripts to Silicon: A Journey Through the Layers of Computing Hiroshima 2025 Edition
Avatar for HASEGAWA Tomoki tomzoh
0
370
PHPからはじめるコンピュータアーキテクチャ / From Scripts to Silicon: A Journey Through the Layers of Computing
Avatar for HASEGAWA Tomoki tomzoh
5
820
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 完全版 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming - Expanded
Avatar for HASEGAWA Tomoki tomzoh
6
4.6k
カンファレンスのつくりかた / The Conference Code: What Makes It All Work
Avatar for HASEGAWA Tomoki tomzoh
11
2.2k
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming
Avatar for HASEGAWA Tomoki tomzoh
1
1.6k
PHPで印刷所に入稿できる名札データを作る / Generating Print-Ready Name Tag Data with PHP
Avatar for HASEGAWA Tomoki tomzoh
0
1k

Other Decks in Technology

See All in Technology
組織的なAI活用を阻む 最大のハードルは コンテキストデザインだった
Avatar for KuboSeiya ixbox
1
290
バックオフィスPJのPjMをコーポレートITが担うとうまくいく3つの理由
Avatar for chama yueda256
1
270
ログ基盤・プラグイン・ダッシュボード、全部整えた。でも最後は人だった。
Avatar for Masaki Kubota makikub
1
190
Microsoft Fabricで考える非構造データのAI活用
Avatar for Ryoma Nagata ryomaru0825
0
650
OPENLOGI Company Profile for engineer
Avatar for OPENLOGI hr01
1
62k
Goビルドを理解し、 CI/CDの高速化に挑む
Avatar for sato-shin satoshin
0
120
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
Avatar for oracle4engineer oracle4engineer
PRO
2
17k
ZOZOTOWNリプレイスでのSkills導入までの流れとこれから
Avatar for ZOZO Developers zozotech
PRO
2
2.3k
制約を設計する - 非決定性との境界線 / Designing constraints
Avatar for soudai sone soudai
PRO
5
1.4k
Kubernetes基盤における開発者体験 とセキュリティの両⽴ / Balancing developer experience and security in a Kubernetes-based environment
Avatar for mekka chmikata
0
150
GitHub Advanced Security × Defender for Cloudで開発とSecOpsのサイロを超える: コードとクラウドをつなぐ、開発プラットフォームのセキュリティ
Avatar for yuriemori yuriemori
1
130
AI時代のシステム開発者の仕事_20260328
Avatar for 閃利㈱河村 純 sengtor
0
330

Featured

See All Featured
Claude Code のすすめ
Avatar for schroneko schroneko
67
220k
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
500
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.5k
The SEO Collaboration Effect
Avatar for Kristina Bergwall kristinabergwall1
0
410
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.6k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
670
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
14k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
62
53k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
230
It's Worth the Effort
Avatar for 3n 3n
188
29k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9.2k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
3
100

Transcript

  1. 長谷川智希 𝕏 @tomzoh 2026/04/11 PHPカンファレンス小田原2026 デシリアライゼーションを理解する

  2. ௕୩઒ஐر ͸͕ͤΘ ͱ΋͖ @tomzoh http://www.dgcircus.com デジタルサーカス株式会社 ॴଐ ٕज़ΧϯϑΝϨϯεओ࠻ دߘɾஶॻ 来たれ!PHPer!We

    are hiring! 𝕏

  3. ௕୩઒ஐر ͸͕ͤΘ ͱ΋͖ @tomzoh ٕज़ΧϯϑΝϨϯεӡӦࢀՃ ֤छϓϩάϥϜ։ൃ   $16 ϨτϩήʔϜػ

    ిࢠ޻࡞  Ϗʔϧ αοΧʔ؍ઓ ϨϯλϧΧʔτϨʔε  ΩϟϯϐϯάΧʔ ๅ௩؍ܶʜ ϥΠϑϫʔΫ 𝕏

  4. 長谷川智希 @tomzoh デシリアライゼーションを理解する 4 デシリアライゼーションを理解する

  5. 長谷川智希 @tomzoh デシリアライゼーションを理解する React2Shell • 2025年12月に発見された超絶インパクトの脆弱性 • React + Next.js

    の React Server Components の脆弱性 • 認証されていない攻撃者がHTTPリクエストを1つ送信するだけで任意コード実行できる • React Server Components • 通常のWebアプリでは /api/update-user みたいなAPIエンドポイントを作ってフロントエ ンドからコールする • Next.jsではプログラマが定義した関数に対応する内部APIエンドポイントが自動で用意され る機能がある • function updateUser(formData){} 的にサーバで定義しておき、 フロントエンドで <form action={updateUser}> 的にする • この処理に脆弱性があった • この脆弱性は安全でないデシリアライゼーションに分類される 5

  6. 長谷川智希 @tomzoh デシリアライゼーションを理解する OWASP Top 10 2017 A1: 2017-Injection A2:

    2017-Broken Authentication A3: 2017-Sensitive Data Exposure A4: 2017-XML External Entities (XXE) A5: 2017-Broken Access Control A6: 2017-Security Miscon fi guration A7: 2017-Cross-Site Scripting (XSS) A8: 2017-Insecure Deserialization A9: 2017-Using Components with Known Vulnerabilities A10: 2017-Insuf fi cient Logging & Monitoring 6 安全でないデシリアライゼーション CSRF SQLインジェクション XSS

  7. 長谷川智希 @tomzoh デシリアライゼーションを理解する PHPでのデシリアライゼーション 7

  8. 長谷川智希 @tomzoh デシリアライゼーションを理解する PHPの serialize() と unserialize() 8 オブジェクトをDBやファイルに保存できて便利

  9. 長谷川智希 @tomzoh デシリアライゼーションを理解する PHPまわりで使われているシリアライズ • PHPのSESSION user_id|i:1042;username|s:6:"tanaka";role|s:5:"admin";login_time|i:1744185600; • LaravelでQueueを使う時のjobsテーブルのpayload {"uuid":"d6062a83-cfe3-4f13-b013-701940371442","displayName":"App\\Jobs\

    \FooBarJob","job":"Illuminate\\Queue\ \CallQueuedHandler@call","maxTries":null,"maxExceptions":null,"failOnTimeout":fa lse,"backoff":null,"timeout":14400,"retryUntil":null,"data":{"commandName":"App\ \Jobs\\FooBarJob","command":"O:18:\"App\\Jobs\\FooBar\":1: {s:10:\"\u0000*\u0000queueId\";i:5963;}"}} • WordPressのwp_optionsテーブルのoption_value a:2:{i:0;s:18:"pagespeed-insights";i:1;s:11:"analytics-4";} 9

  10. 長谷川智希 @tomzoh デシリアライゼーションを理解する 脆弱性への道 • unserialize() では新しいクラスやメソッドは作れないが 既存のクラスのインスタンスは作れる • 脆弱性のあるクラスのインスタンスをいい感じのプロパティで作ってやる

    • PHPには特定のタイミングで自動実行されるメソッドがある • __unserialize() / __wakeup() • __destruct() • __toString() • 自動実行されるメソッドで狙った効果を発動させる 10

  11. 長谷川智希 @tomzoh デシリアライゼーションを理解する 脆弱性のデモ 11

  12. 長谷川智希 @tomzoh デシリアライゼーションを理解する 何が起きたか • ToDoアプリ • データはファイルに保存 • テキストでエクスポート/インポートできる

    • 悪意ある文字列をインポート • httpでリクエスト可能な場所にファイルが生成された 12

  13. 長谷川智希 @tomzoh デシリアライゼーションを理解する TodoListクラス 基本設計 13

  14. 長谷川智希 @tomzoh デシリアライゼーションを理解する TodoListクラス export/import 14

  15. 長谷川智希 @tomzoh デシリアライゼーションを理解する import.php 15

  16. 長谷川智希 @tomzoh デシリアライゼーションを理解する LogWriterクラス 16

  17. 長谷川智希 @tomzoh デシリアライゼーションを理解する ここまでで脆弱性のパーツは揃いました 17 何をどうやって攻撃するか、わかりました…?

  18. 長谷川智希 @tomzoh デシリアライゼーションを理解する 攻撃ペイロード 18 O:9:"LogWriter":2:{ s:4:"path";s:28:"/var/www/html/data/ shell.php";s:7:"content";s:30:"<?php system($_GET["cmd"]); ?>";}

    禍々しい文字列が見えるけど… 整形すると…

  19. 長谷川智希 @tomzoh デシリアライゼーションを理解する 攻撃ペイロード 19 O:9:"LogWriter":2:{ s:4:"path";s:28:"/var/www/html/data/shell.php"; s:7:"content";s:30:"<?php system($_GET["cmd"]); ?>";

    } LogWriterクラスをプロパティ付きでシリアライズしたもの <?php system($_GET["cmd"]); ?> ▼./src/data/shell.php

  20. 長谷川智希 @tomzoh デシリアライゼーションを理解する LogWriter の __destruct() 20 脆弱なクラスのインスタンスを攻撃者の指定したプロパティで デシリアライズしてしまった =

    安全でないデシリアライゼーション

  21. 長谷川智希 @tomzoh デシリアライゼーションを理解する 安全でないデシリアライゼーション 破壊力絶大の脆弱性 • 一撃で任意コード実行に行き着くことが多く破壊力の大きな脆弱性になりがち • 脆弱なクラス(ガジェット /

    gadget)と組み合わせて攻撃に使われる • デモの場合 LogWriter がガジェット • TodoList をデシリアライズすることを意図した処理に LogWriter をデシリアライズさせていた 21

  22. 長谷川智希 @tomzoh デシリアライゼーションを理解する どうしたら良かった…? • システム外部から来たデータを信じない • 聞き覚えが…? • コンピュータシステムのセキュリティ問題、だいたいこれ

    • XSS, CSRF, SQLインジェクション, … • 本当に serialize() / unserialize() でないといけないか (= オブジェクトとしてシリ アライズする必要があるか) をよく考える • ToDoの配列を json_encode() / json_decode() で良くない? • 我々が書くようなWebアプリの世界では serialize() / unserialize() でないといけな いケースは無いと言って過言では無いのでは • 「こういう時に必要だったんだよね」という体験談ある方ぜひ聞かせて! 22

  23. 長谷川智希 @tomzoh デシリアライゼーションを理解する serialize() の allowed_classes オプション 23

  24. 長谷川智希 @tomzoh デシリアライゼーションを理解する 24 あ、はい… これ、どういうケースを想定してるんだろ? 「今安全でもそのうちおまえらどうせやらかすだろ」ということ…? 今回のケースだと、もともとプロパティもユーザ入力の信頼できない値なので unserialize() で受け入れて良い気がするんだけどな〜

    意図がわかる方おしえてください…!

  25. 長谷川智希 @tomzoh デシリアライゼーションを理解する 余談: unserialize()できなかったオブジェクト • allowed_classes に書かれていないクラスをアンシリアライズするとどうなるか • __PHP_Incomplete_Class

    というクラスのインスタンスができる object(__PHP_Incomplete_Class)#1 (3){ ["__PHP_Incomplete_Class_Name"]=> string(9) "LogWriter" ["path"]=> string(28) "/var/www/html/data/shell.php" ["content"]=> string(30) "<?php system($_GET["cmd"]); ?>" } • プロパティに触ろうとするとWarningになりNULLが返ってくる Warning: TodoList::import(): The script tried to access a property on an incomplete object. Please ensure that the class definition "LogWriter" of the object you are trying to operate on was loaded _before_ unserialize() gets called or provide an autoloader to load the class definition in /var/www/html/classes/TodoList.php on line 63 25

  26. 長谷川智希 @tomzoh デシリアライゼーションを理解する まとめ 26

  27. 長谷川智希 @tomzoh デシリアライゼーションを理解する まとめ • 安全でないデシリアライゼーションは重大な脆弱性を引き起こす • 特に外部システムからの入力をデシリアライズするのはとても危険 • PHPでオブジェクトをシリアライズしたくなったら

    serialize() を使う前に json_encode() ではダメかを考えると良い • ほぼすべてのケースで json_encode() で良いはず • unserialize() を使う場合も allowed_classes オプションでクラスを指定する • 指定クラス以外を unserialize() すると普通でないクラスができあがるのでそれを考慮 に入れる • 安全に使えば serialize() / unserialize() は割と便利 • うまく付き合っていきましょう 27

  28. 長谷川智希 @tomzoh デシリアライゼーションを理解する 28 デシリアライズ 適材適所で ご安全に

  29. 長谷川智希 @tomzoh デシリアライゼーションを理解する まとめ • 安全でないデシリアライゼーションは重大な脆弱性を引き起こす • 特に外部システムからの入力をデシリアライズするのはとても危険 • PHPでオブジェクトをシリアライズしたくなったら

    serialize() を使う前に json_encode() ではダメかを考えると良い • ほぼすべてのケースで json_encode() で良いはず • unserialize() を使う場合も allowed_classes オプションでクラスを指定する • 指定クラス以外を unserialize() すると普通でないクラスができあがるのでそれを考慮 に入れる • 安全に使えば serialize() / unserialize() は割と便利 • うまく付き合っていきましょう 29

  30. 長谷川智希 @tomzoh デシリアライゼーションを理解する おまけ 30

  31. 長谷川智希 @tomzoh デシリアライゼーションを理解する デシリアライゼーション…? • 保存・送信に便利な形式(文字列やバイト列)に変換されたデータを、元のオブジェクトや データ構造に戻す処理 • シリアライズ ⁵

    デシリアライズ • エンコード ⁵ デコード と似てる • Eメールは7bit ASCIIしか通せない • 添付ファイル(バイナリ)をBase64でエンコードして7bit ASCIIにして送信 • 受信した7bit ASCIIのメールをBase64でデコードしてバイナリに戻す • オブジェクトをテキスト形式にしたい場合にシリアライズ/デシリアライズを使う • PHPにはそのものズバリの serialize() / unserialize() 関数がある 31