​2015年12月15日国内各大安全厂商都从国外站点上关注到一条关于Joomla远程代码执行漏洞的内容，原文可以看这里。之后开启了一轮漏洞分析大战，比快，比准，比嘲讽。 而作为对于PHP SESSION序列化机制不怎么了解的我，就兴奋的阅读着各家的分析来学习这个漏洞的原理。虽然这些分析文章帮助我重现了这个漏洞的利用，并且貌似解释清楚了原理，但是，有一个问题我还是没有在这些文章中找出。

    ​不久前，网络安全人员再一次在黑产面前遭到重挫，Joomla曝高危0Day漏洞，无需用户登陆就能触发。Joomla漏洞在官方发布升级版和补丁之前，已经在各种地下黑色产业链中流传了一段时间，恐怕并且已经有不少网站被黑客拿下。 这个恶意代码的进入点是用户代理字符串，这是每个浏览器都在广而告之的内容：让浏览器知道用户的技术结构从而为站点提供最佳或最合适的版本。很显然这个字符串存储于Joomla数据库中，但并没有被清洁处理以检测恶意代码。攻击者能够通过能够播报虚假用户代理字符串的方式利用特殊app和脚本拉力轻易编制一个定制化字符串并将恶意代码附着，这个安全隐患是在PHP中session是通过序列化存储的。

    ​前一段时间热炒的Java反序列化漏洞，大家在玩的很嗨的时候貌似忽略了一件很重要的事情——Java在cs架构的设计中使用序列化传输是非常普遍的现象，而在像JBoss这种中间件也使用这种设计。所以，我在一边研究这个漏洞，一边看大家嗨嗨的玩的同时，也很好奇在一些通过Java实现的CS架构应用(比如：大型国企都喜欢用的会计软件、内容发布系统)，是不是也会用到Apache Commons Collections这个库。 不知道是不是研究Java Web的大神们都在闷声发大财，这次这个漏洞的分析文章大多都停留在那个老外blog中的各个中间件的利用玩法上，却没有注意到Java Web中常见的架构都会因为这个问题而沦陷。而且除了长亭之外的文章，其他各家的修复建议大多都是针对利用来进行修复，治标不治本。