本次的远程代码执行漏洞本质上还是序列化的原因造成的漏洞。反序列化漏洞的形成一般也是由于序列化的字符串是用户可控的，同时程序没有对序列化的字符串进行过滤。本次的joomla的远程代码执行漏洞也是如此。

JarvisOJ平台Web题目中简单部分的分析

第七季极客大挑战部分解答

sugarcrm6.5.18 PHP代码注入

hitcon-babytrick题目分析与解答

__wakeup()函数漏洞是一个CVE漏洞(CVE-2016-7124))。这个漏洞其实也是与PHP序列化有关，并且本文会对SugarCRM中的__wakeup()漏洞进行详细地分析，也可以算作是一次比较简单的代码审计。

PHP对象注入与PHP序列化分析

PHP中反序列化实现机制以及潜在危害

“百度杯”CTF夺旗大赛第一周比赛题目的分析与解答

sqlmap用法备忘录