 描述
敌人企图利用应用程序通过注入另外,恶意的内容在其处理序列化的对象。开发人员利用序列化以数据或状态转化为静态的,二进制格式保存到磁盘或通过网络传输。这些对象被反序列化时需要恢复数据/状态。通过注入一个畸形的对象一个脆弱的应用程序中,敌人可能会妥协应用程序通过操纵反序列化过程。这可能导致许多不必要的结果,包括远程代码执行。
攻击的可能性
典型的严重性
的关系
 此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
先决条件
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
可用性 |
资源消耗 |
|
|
完整性 |
修改数据 |
|
|
授权 |
执行未经授权的命令 |
|
缓解措施
实现:验证对象之前反序列化过程 |
设计:限制类型可以被反序列化。 |
实现:避免不必要的类型或设备可以被恶意利用的目的。使用一个allowlist可接受的类。 |
实现:保持会话状态服务器上,如果可能的话。 |
引用
|
(ref - 468)“反序列化不可信的数据”。OWASP。2017 - 01。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2017-02-06
(版本2.9) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新引用,Related_Weaknesses |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的措施之一 |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的措施之一 |
|
描述
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
内容的历史
