ناپیاپی‌سازی -Deserialization-، پارسال روی خیلی از زبون‌های

ناپیاپی‌سازی (Deserialization)، پارسال روی خیلی از زبون‌های برنامه‌نویسی سروصدا کرد. این مقدار به حدی بود که متخصصین زیادی توصیه می‌کردن استفاده از Java Serialization رو در برنامه‌های آسیب‌پذیرشون متوقف کنن. بعضی هم توصیه می‌کردن که از کتابخونه‌های امن JSON استفاده بشه. توی این مقاله روی کتابخونه‌های JSON بررسی‌های عمیق انجام شده و تحلیل‌هایی روی اینکه کدوم یک از اون‌ها به اجرای مطلق کد به مدد ناپیاپی‌سازی داده‌های نامطمئن منجر میشه انجام گرفته. در ادامه تحقیقاتشون با شکل‌دهنده‌های .net همراه بوده و تمام راه‌های حمله به فرمت‌های پیاپی‌سازی و چگونگی حمله به اون‌ها توضیح داده شده.
@offsecmag


لینک کوتاه

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

%d وب‌نوشت‌نویس این را دوست دارند: