Rubrica Cybersicurezza #11 | Deserializzazione insicura

Deserializzazione insicura: come funziona e cos’è?

La deserializzazione, o il recupero di dati e oggetti che sono stati scritti sui dischi o salvati in altro modo, può essere usata per eseguire da remoto del codice nella vostra applicazione o come porta per ulteriori attacchi.

Il formato in cui un oggetto viene serializzato è un testo strutturato o binario attraverso sistemi di serializzazione comuni come JSON e XML. Questa falla si verifica quando un attaccante utilizza dati non fidati per manipolare un’applicazione, avviare un attacco DoS (denial of service) o eseguire codice imprevedibile per cambiare il comportamento dell’applicazione.

Anche se la deserializzazione è difficile da sfruttare, i test di penetrazione o l’uso di strumenti di sicurezza delle applicazioni possono ridurre ulteriormente il rischio. Inoltre, non accettate oggetti serializzati da fonti non fidate e non usate metodi che permettono solo tipi di dati primitivi.


Potrebbe interessarti leggere anche:


Immagine da Pexels

You might also like