PHP 反序列化审计（php-deser-audit）

分析 PHP 项目源码，识别用户可控数据进入 unserialize() 或等价反序列化点，结合类的魔术方法（__wakeup/__destruct/__call/__toString/{value}）判断是否存在对象注入可利用链。

分级与编号

• 详见：shared/SEVERITY_RATING.md
• 漏洞编号：{C/H/M/L}-DESER-{序号}

危险 Sink（必做）

• unserialize($data)
• unserialize(base64_decode({value}))
• 任何将用户输入转换后再反序列化的路径

可控性（必做）

必须追踪并输出：

• 反序列化入参来自哪里：GET/POST/Cookie/Session/Header/数据库字段等
• 是否存在 base64/加密/解码/拼接步骤（仍可能可控）
• 是否有校验/签名（如 hash_hmac）以及签名是否可靠（需要证据）