Tag: deserializacja

Kolejna część cyklu tekstów o deserializacji w Javie. Jak już wiemy, całość może prowadzić do wykonania kodu w OS ale również do zDoS-owania naszej aplikacji…

Deserializacja niezaufanych danych pochodzących od użytkownika większości developerów nie powinna wydawać się problematyczna. Dlaczego miałaby być? W końcu co najwyżej serwer dostanie dane, które po zdeserializowaniu stworzą obiekt inny od oczekiwanego, co spowoduje błąd aplikacji i przerwanie wykonania…

Niedawno pokazano ataki na popularne javowe serwery aplikacyjne (Jboss, WebLogic, Websphere, itd), wskazując na bardziej ogólny problem – tj. z niewalidowaną deserializacją prowadzącą często do nieautoryzowanego wykonania kodu w systemie operacyjnym (problem zresztą nie dotyczy jedynie Javy). Obecnie dostępny jest nawet dodatek do popularnego narzędzia pentesterskiego burp suite, umożliwiający większą automatyzację ataków…

Było już na sekuraku o deserializacji w Pythonie, Javie, czy PHP – wszystko w kontekście zdalnego wykonania kodu w aplikacji webowej. Dla odmiany polecam zerknąć na świeże opracowanie podobnej sytuacji – ale na przykładzie aplikacji napisanej w Perlu. –ms

Pisaliśmy już o problemach deserializacji – w Pythonie czy Javie. I dokładnie tego typu przykład można było znaleźć na jednym z serwerów PayPala. Czy macie już teraz jakieś wątpliwości do tego że niekontrolowana deserializacja to zuo? ;) Dla lubiących obrazki, reverse shell na PayPalu w filmiku poniżej: –ms

Kilka dni temu w artykule o unpickle ogłosiliśmy konkurs, polegający na wykorzystaniu omawianej podatności w celu uzyskania XSS-a. Jeszcze tego samego dnia przyszło do nas pięć rozwiązań (ale najszybszy był Adam Dobrawy). W rozwiązaniach zastosowano trzy różne podejścia do problemu.