Deserialiseringsproblem - Infinite Lexicon - Infinite Lexicon

Deserialiseringsproblem

Deserialiseringsproblem är ett säkerhetsproblem som uppstår när applikationer deserialiserar data från opålitliga källor utan tillräckliga skyddsåtgärder. Deserialisering innebär att återställa ett objekt ur en serialiserad representation, till exempel en byte- eller textsträng. Om den data som deserialiseras manipuleras kan objektgrafen ändras och i många fall leda till missbruk såsom fjärrkodkörning eller obehörig åtkomst vid deserialisering.

Orsaken är att programmet litar på indata och ofta saknas begränsningar för vilka klasser som får instansieras

Vanliga plattformar där dessa problem är kända inkluderar Java-serialisering, PHP:s unserialize, Python-pickle och .NET:s BinaryFormatter. Angripare

Motåtgärder omfattar att undvika deserialisering av data från opålitliga källor, eller att starkt kontrollera vad som

deserialiseringen.

integritetsskydd

deserialisering

deserialiseras.

schemavalidering

äkthetskontroller

(white-listing),

deserialisering