Insecure Deserialization
Az “Insecure Deserialization” (bizonytalan deszerializáció) egy olyan számítástechnikai kifejezés, amely az adatok átalakításához kapcsolódik. Lényegében a szó az adatok újratervezésének folyamatát jelenti.
Azonban az “Insecure Deserialization” problémát vet fel, ha a bejövő adatok nem biztonságos módon kerülnek átalakításra. Ez azt jelenti, hogy az alkalmazás nem ellenőrzi az adatok eredetiségét, és könnyen lehet, hogy rosszindulatú szándékkal használják fel az adatokat.
Például, egy rosszindulatú hacker elküldhet egy manipulált adatfájlt, amelyet az alkalmazás deszerializál, beleértve az összes benne található rossz kódokat is. Ezek a rossz kódrészletek kárt okozhatnak az alkalmazásban, például ellopva bizalmas információkat, vagy akár teljes rendszerleállást okozva.
Ennek elkerülése érdekében, az alkalmazásnak biztosítania kell az adatok eredetiségének ellenőrzését az átalakítás előtt. Ha az adatok nem biztonságosak, akkor azokat nem kell deszerializálni, és az alkalmazásnak védelmet kell biztosítania a rosszindulatú támadásokkal szemben.