Vulnérabilités
Désérialisation non sécurisée
Aussi appelé: Désérialisation non sûre, Vulnérabilité de désérialisation d'objet
Définition
Vulnérabilité où une application désérialise des données non fiables, permettant à un attaquant d'instancier des objets arbitraires et souvent d'obtenir un RCE.
Exemples
- Application Java désérialisant un cookie de session avec Commons Collections dans le classpath et atteignant un RCE.
- Service Python exécutant pickle.loads sur des octets contrôlés par l'utilisateur.
Termes liés
Pollution de prototype
Vulnérabilité JavaScript où une entrée non fiable modifie Object.prototype, injectant des propriétés dans tous les objets et altérant le comportement de l'application, voire menant à un RCE.
Affectation en masse
Vulnérabilité où une application lie aveuglément des champs fournis par le client à des propriétés internes, laissant l'attaquant définir des attributs qu'il ne devrait pas contrôler.
Cheval de Troie d'accès à distance (RAT)
Logiciel malveillant qui donne à un attaquant un contrôle furtif et interactif d'un appareil infecté, similaire à un outil caché d'administration à distance.
Command Injection
Command Injection — definition coming soon.
Contrôle d'accès défaillant
Catégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits.
OWASP Top 10
OWASP Top 10 — definition coming soon.