Désérialisation non sécurisée
Qu'est-ce que Désérialisation non sécurisée ?
Désérialisation non sécuriséeVulnérabilité où une application désérialise des données non fiables, permettant à un attaquant d'instancier des objets arbitraires et souvent d'obtenir un RCE.
Quand une application reconvertit des données sérialisées (formats binaires Java/PHP/Python/.NET, YAML, JSON avec métadonnées de type) en objets, le désérialiseur peut invoquer des constructeurs, des méthodes magiques ou des chaînes de gadgets. Avec des entrées non fiables, l'attaquant forge des payloads déclenchant un comportement dangereux pendant la désérialisation — RCE, contournement d'authentification, écriture de fichier, DoS. Les chaînes de gadgets dans Apache Commons Collections (Java), Pickle (Python) ou .NET BinaryFormatter ont causé des incidents majeurs. Défenses : éviter de désérialiser des données non fiables, utiliser des formats sans récupération de type (JSON simple avec schémas explicites), signer les payloads, allow-lists de types et corriger les runtimes.
● Exemples
- 01
Application Java désérialisant un cookie de session avec Commons Collections dans le classpath et atteignant un RCE.
- 02
Service Python exécutant pickle.loads sur des octets contrôlés par l'utilisateur.
● Questions fréquentes
Qu'est-ce que Désérialisation non sécurisée ?
Vulnérabilité où une application désérialise des données non fiables, permettant à un attaquant d'instancier des objets arbitraires et souvent d'obtenir un RCE. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Désérialisation non sécurisée ?
Vulnérabilité où une application désérialise des données non fiables, permettant à un attaquant d'instancier des objets arbitraires et souvent d'obtenir un RCE.
Comment se défendre contre Désérialisation non sécurisée ?
Les défenses contre Désérialisation non sécurisée combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Désérialisation non sécurisée ?
Noms alternatifs courants : Désérialisation non sûre, Vulnérabilité de désérialisation d'objet.