Objektinjection
Objektinjection bezeichnet eine sicherheitsrelevante Schwachstelle, die entsteht, wenn Software Eingaben des Deserialisierungsprozesses überlässt, um Objekte im Arbeitsspeicher wiederherzustellen. Dabei wandelt der Deserialisierer eine serialisierte Repräsentation in echte Objekte um. Wenn Angreifer Eingaben kontrollieren können, haben sie potenziell Einfluss auf den rekonstruierten Objektzustand oder den Ausführungsfluss des Programms.
In vielen Sprachen lässt sich durch manipulierte Serialisierungsdaten Code ausführen oder kontextabhängige Sicherheitseigenschaften manipulieren. Angriffe nutzen
Die Auswirkungen reichen von Remote Code Execution über Authentifizierungsumgehung und Session-Hijacking bis hin zu Datenverlust oder
Schutzmaßnahmen umfassen das Vermeiden der Deserialisierung untrusted data, strikte Eingabevalidierung und das Verwenden sicherer Formate statt