Insecure Deserialization
Insecure Deserialization, ya da Türkçe’ye çevirirsek “Güvensiz Serileştirme”, bilgisayarlarla ilgili bir konudur. Bu konu, bir programın dışarıdaki verileri işlediği zaman meydana gelebilecek olumsuz etkileri inceler. Programlar genellikle, başka bir sistemden gelen verileri işleyerek çeşitli işlemler yaparlar. Bu veriler, genellikle bir sözleşme gibi yapılandırılmış bir formattadır. İşte burada serileştirme devreye girer.
Serileştirme, verileri bir formattan, mesela bir sözleşmeden başka bir formata, mesela bir nesneye çevirme işlemidir. Ancak, bazı durumlarda bu işlemde güvenlik açıkları oluşabilir. Eğer program, dışarıdan gelen serileştirilmiş verileri doğrulama işlemi yapmadan işlemeye başlarsa, saldırganlar bu açığı kullanarak sisteme girebilirler. Sistemdeki bilgilere ulaşabilir, hatta kontrolünü bile ele geçirebilirler.
Bu nedenle, Insecure Deserialization, programların dışarıdan gelen verileri işlerken dikkatli olmasını sağlar. Programlar, dışarıdan gelen verileri doğrulama işlemi yaparak veya farklı bir yöntem kullanarak işlemeye başlamalıdırlar. Böylece, saldırganlar bu açığı kullanamayacaklarından sistem daha güvenli hale gelir.