Trzecia i ostatnia część z serii o deserializacji w Javie i problemów za tym idących. Tym razem dowiemy się jakie mamy strategie zabezpieczenia się przed atakami.
Czytaj dalej »
Kolejna część cyklu tekstów o deserializacji w Javie. Jak już wiemy, całość może prowadzić do wykonania kodu w OS ale również do zDoS-owania naszej aplikacji…
Czytaj dalej »
Deserializacja niezaufanych danych pochodzących od użytkownika większości developerów nie powinna wydawać się problematyczna. Dlaczego miałaby być? W końcu co najwyżej serwer dostanie dane, które po zdeserializowaniu stworzą obiekt inny od oczekiwanego, co spowoduje błąd aplikacji i przerwanie wykonania…
Czytaj dalej »
Niedawno poznaliśmy na Sekuraku podatność PHP Object Injection, gdzie niefiltrowana deserializacja danych mogła prowadzić do różnorakich problemów z bezpieczeństwem w zależności od klas używanych w aplikacji. W tym zaś artykule zobaczymy, że analogiczna podatność w Pythonie gwarantuje zdalne wykonywanie kodu.
Czytaj dalej »