Vulnerabilidades
Desserialização insegura
Também conhecido como: Desserialização não segura, Vulnerabilidade de desserialização de objetos
Definição
Vulnerabilidade em que uma aplicação desserializa dados não confiáveis, permitindo ao atacante instanciar objetos arbitrários e, com frequência, conseguir RCE.
Exemplos
- Aplicação Java a desserializar cookie de sessão com Commons Collections no classpath, resultando em RCE.
- Serviço Python a executar pickle.loads sobre bytes controlados pelo utilizador.
Termos relacionados
Poluição de protótipo
Vulnerabilidade JavaScript em que entrada não confiável modifica Object.prototype, injetando propriedades em todos os objetos e alterando comportamento, podendo levar a RCE.
Atribuição em massa
Vulnerabilidade em que a aplicação liga cegamente campos enviados pelo cliente a propriedades internas, permitindo ao atacante definir atributos que não devia controlar.
Trojan de acesso remoto (RAT)
Malware que dá ao atacante controlo encoberto e interativo de um dispositivo infetado, semelhante a uma ferramenta escondida de administração remota.
Command Injection
Command Injection — definition coming soon.
Controlo de acesso quebrado
Classe de vulnerabilidades em que as regras de autorização estão em falta ou são aplicadas incorretamente, permitindo a utilizadores ações ou dados fora dos seus privilégios.
OWASP Top 10
OWASP Top 10 — definition coming soon.