serializacja - Sekurak

Java vs. deserializacja niezaufanych danych (część III) – jak się zabezpieczyć?

10 października 2016, 09:45 | Teksty | komentarzy 5

Trzecia i ostatnia część z serii o deserializacji w Javie i problemów za tym idących. Tym razem dowiemy się jakie mamy strategie zabezpieczenia się przed atakami.

Czytaj dalej »

Java vs. deserializacja niezaufanych danych (część II) – możliwość DoSowania aplikacji

21 września 2016, 09:10 | Teksty | komentarzy 6

Kolejna część cyklu tekstów o deserializacji w Javie. Jak już wiemy, całość może prowadzić do wykonania kodu w OS ale również do zDoS-owania naszej aplikacji…

Czytaj dalej »

Java vs. deserializacja niezaufanych danych i zdalne wykonanie kodu (część I)

02 czerwca 2016, 08:54 | Teksty | komentarzy 5

Deserializacja niezaufanych danych pochodzących od użytkownika większości developerów nie powinna wydawać się problematyczna. Dlaczego miałaby być? W końcu co najwyżej serwer dostanie dane, które po zdeserializowaniu stworzą obiekt inny od oczekiwanego, co spowoduje błąd aplikacji i przerwanie wykonania…

Czytaj dalej »

Unpickle – deserializacja w Pythonie i zdalne wykonywanie kodu (+ konkurs)

03 lipca 2014, 18:11 | Teksty | komentarzy 11

Niedawno poznaliśmy na Sekuraku podatność PHP Object Injection, gdzie niefiltrowana deserializacja danych mogła prowadzić do różnorakich problemów z bezpieczeństwem w zależności od klas używanych w aplikacji. W tym zaś artykule zobaczymy, że analogiczna podatność w Pythonie gwarantuje zdalne wykonywanie kodu.

Czytaj dalej »

Tag: serializacja

Java vs. deserializacja niezaufanych danych (część III) – jak się zabezpieczyć?

Java vs. deserializacja niezaufanych danych (część II) – możliwość DoSowania aplikacji

Java vs. deserializacja niezaufanych danych i zdalne wykonanie kodu (część I)

Unpickle – deserializacja w Pythonie i zdalne wykonywanie kodu (+ konkurs)