Insecure Deserialization Attack
“Insecure Deserialization Attack” - це тип атаки на веб-додатки, коли зловмисники можуть зберегти відомості після серіалізації даних та використовувати їх для зловживання.
До серіалізації звичайно використовуються формати, які зберігають об’єкти в файл з метою їх збереження або передачі по мережі. Зазвичай програміст визначає який тип даних необхідно зберігати та який об’єкт почнеться в процесі серіалізації.
Зловмисники можуть змінити вміст серіалізованого об’єкта якимось чином, наприклад, добавити шкідливий код. У разі якщо програма невірно виконує процес десеріалізації даних, то цей шкідливий код може виконуватися при обробленні даних в програмі. Тоді зловмисник може виконувати всі дії, які можуть бути здійснені з поточними привілеями цієї програми.
Таким чином, щоб упевнитися, що програма невиконує таких операцій, процес десеріалізації даних необхідно виконувати з обережністю та перевіряти всі об’єкти перед їх виконанням, забезпечуючи таким чином безпеку веб-додатку.