文章总结： 本次沙龙聚焦SSTI服务端模板注入和PHP反序列化两类Web漏洞，系统讲解漏洞成因、检测方法与实战技巧。通过模板引擎识别、Payload构造及反序列化链利用等演示，帮助30名参与者建立理论基础，为后续深入学习Web安全奠定基础。 综合评分： 78 文章分类： WEB安全,漏洞分析,安全培训,实战经验,CTF

2025-2026学年第二学期西安工业大学网络空间安全协会第五次沙龙成功举办

XATUSEC XATUSEC

XatuSec

2026年4月23日 23:04 陕西

在小说阅读器读本章

去阅读

2026年4月17日，网络空间安全协会负责举办的技术分享会，于晚上18点30分在教二103成功举办，本次分享会由技术部主办，协会成员、不同年级同学参加，共计 30人参加了本次宣讲会。

本次沙龙的上半场聚焦于SSTI服务端模板注入漏洞。主讲人杨梦颢同学首先从模板渲染基础流程入手，通过PPT上提前为同学们准备的简单示例清晰阐释了漏洞成因。随后，杨梦颢同学系统地概述了漏洞检测方法，重点介绍了7*7等高效探测表达式，以及如何根据返回结果判断不同模板引擎类型。在实战环节，杨梦颢同学为同学们展示了多种绕过思路和自己的小技巧，分享了通用攻击链与Payload构造逻辑，帮助成员初步了解了漏洞利用的核心技巧。

下半场沙龙由王钊玺同学围绕PHP反序列化漏洞展开。王钊玺同学从类与对象的基础概念引入，对比了不同语言中构造函数与析构函数的特性，并讲解了序列化与反序列化的原理与应用场景。随后，王钊玺同学向大家展示了反序列化漏洞的形成逻辑，结合实例演示了如何通过操控反序列化字符串，调用本不可执行的危险函数。

本次沙龙内容聚焦于理论知识讲解，以通俗易懂的方式将难以理解的专有名词拆解，有效提升了成员对两类Web漏洞的理解，为同学后续更深入的学习奠定了一定的理论基础。

图：张欣妍

文：张欣妍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：XatuSec XATUSEC XATUSEC《2025-2026学年第二学期西安工业大学网络空间安全协会第五次沙龙成功举办》