La désérialisation non sécurisée est une vulnérabilité qui existe dans les applications Web, permettant aux attaquants de manipuler des données et potentiellement d'exécuter du code arbitraire en exploitant le processus de désérialisation. Cette faille de sécurité survient lorsqu'une application convertit aveuglément des données sérialisées en objets sans validation appropriée, entraînant de graves conséquences, telles qu'un accès non autorisé, une falsification des données et l'exécution de code à distance.
L'histoire de l'origine de la désérialisation non sécurisée et sa première mention
Le concept de sérialisation remonte aux débuts de l'informatique, lorsque les développeurs avaient besoin d'un moyen de stocker et de transmettre efficacement les données. La première mention de la désérialisation non sécurisée en tant que problème de sécurité remonte à une présentation de Philippe Delteil et Stefano Di Paola lors de la conférence OWASP AppSec en 2006. Ils ont souligné les risques associés aux vulnérabilités de la désérialisation, ouvrant la voie à des recherches et à une sensibilisation plus approfondies. la communauté de la sécurité.
Informations détaillées sur la désérialisation non sécurisée
La désérialisation non sécurisée se produit lorsqu'une application prend des données sérialisées, souvent dans des formats tels que JSON, XML ou la sérialisation native de PHP, et les reconvertit en objets ou structures de données. Les attaquants peuvent exploiter ce processus en créant des données sérialisées manipulées de manière malveillante pour inciter l'application à exécuter du code arbitraire.
Au cours du processus de désérialisation, l'application reconstruit généralement les objets à partir des données sérialisées en appelant les constructeurs de classe ou les méthodes d'usine correspondantes. Le principal problème réside dans le manque de validation appropriée des entrées et dans les contrôles de sécurité inadéquats au cours de ce processus. Les attaquants peuvent falsifier les données sérialisées, injecter des charges utiles nuisibles ou modifier les propriétés des objets, entraînant un comportement involontaire, voire une compromission totale de l'application.
La structure interne de la désérialisation non sécurisée et son fonctionnement
Les vulnérabilités de désérialisation non sécurisées proviennent de la manière dont les données sérialisées sont traitées. Les étapes suivantes illustrent son fonctionnement :
-
Sérialisation : l'application convertit les objets ou les structures de données dans un format sérialisé (par exemple, JSON ou XML) pour faciliter le stockage ou la transmission.
-
Désérialisation : l'application prend les données sérialisées et reconstruit les objets ou structures de données d'origine.
-
Manque de validation : une désérialisation non sécurisée survient lorsque l'application ne parvient pas à valider les données sérialisées entrantes, en supposant qu'elles proviennent toujours de sources fiables.
-
Charges utiles malveillantes : les attaquants créent soigneusement des données sérialisées manipulées, en intégrant du code nuisible ou en modifiant les propriétés des objets sérialisés.
-
Exécution de code : lorsque les données sérialisées manipulées sont désérialisées, l'application exécute sans le savoir le code malveillant, conduisant à des exploits potentiels.
Analyse des principales caractéristiques de la désérialisation non sécurisée
Les principales caractéristiques de la désérialisation non sécurisée peuvent être résumées comme suit :
-
Facilité d'exploitation: La désérialisation non sécurisée est relativement facile à exploiter, ce qui en fait une cible populaire pour les attaquants.
-
Attaques furtives: Étant donné que les vulnérabilités de désérialisation ne nécessitent aucun téléchargement de fichiers ni injection directe de code, les attaquants peuvent opérer secrètement, échappant aux mesures de sécurité traditionnelles.
-
Conséquences percutantes: Les attaques réussies peuvent entraîner un accès non autorisé, une falsification des données ou l'exécution de code à distance, conduisant potentiellement à une compromission complète du système.
-
Charges utiles imprévisibles: Les attaquants peuvent créer des charges utiles personnalisées pour exploiter l'application de manière unique et inattendue.
Types de désérialisation non sécurisée
Les vulnérabilités de désérialisation non sécurisée peuvent être classées en différents types en fonction des vecteurs d'attaque spécifiques ou du langage de programmation utilisé. Voici quelques types courants :
| Taper | Description |
|---|---|
| Exécution de code à distance | Les attaquants exécutent du code arbitraire sur le serveur, obtenant ainsi un accès non autorisé et un contrôle sur le système. |
| Injection d'objet | Des objets malveillants sont injectés dans l’application, entraînant potentiellement des manipulations de données ou des fuites. |
| Déni de service | Les données sérialisées contrefaites entraînent une consommation excessive de ressources par l'application, ce qui entraîne une attaque DoS. |
| Type de confusion | Les attaquants exploitent les erreurs de gestion basées sur le type dans le processus de désérialisation pour compromettre le système. |
Façons d'utiliser la désérialisation non sécurisée, problèmes et leurs solutions
Façons d’utiliser la désérialisation non sécurisée :
-
Falsification des données: Les attaquants peuvent modifier les données sérialisées pour altérer la logique de l'application et modifier les informations sensibles.
-
Falsification d'identité: Les données sérialisées peuvent être manipulées pour forger l'identité des utilisateurs, en contournant les mécanismes d'authentification.
-
Exécution des commandes: Un code malveillant peut être injecté dans des données sérialisées, conduisant à l'exécution de code à distance.
Problèmes et leurs solutions :
-
Validation des entrées : implémentez une validation d'entrée stricte pour garantir que seules les données fiables et attendues sont traitées pendant la désérialisation.
-
Utiliser des bibliothèques de confiance: Utilisez des bibliothèques de désérialisation bien établies et sécurisées qui offrent des protections intégrées contre les attaques courantes.
-
Liste blanche: créez une liste blanche de classes ou de types de données autorisés lors de la désérialisation pour empêcher l'instanciation d'objets inattendus.
-
Bac à sable: exécutez la désérialisation dans un environnement sandbox pour restreindre l'accès aux ressources critiques et empêcher les opérations non autorisées.
Principales caractéristiques et autres comparaisons avec des termes similaires
La désérialisation non sécurisée partage des similitudes avec d'autres vulnérabilités d'applications Web, mais elle présente des caractéristiques uniques qui la distinguent :
-
Semblable à Injection de code: La désérialisation non sécurisée ressemble quelque peu aux vulnérabilités d'injection de code, mais elle opère dans le contexte de la désérialisation, ce qui la rend distincte.
-
Différent de l'injection SQL: Alors que l'injection SQL cible les bases de données, la désérialisation non sécurisée se concentre sur la manipulation des données sérialisées.
-
Courant dans les applications Web: La désérialisation non sécurisée est plus répandue dans les applications Web qui traitent des données sérialisées provenant d'entrées utilisateur ou d'API externes.
À mesure que le domaine de la sécurité des applications Web continue d'évoluer, des progrès dans les bibliothèques de sérialisation et de désérialisation sécurisées sont attendus. Les développeurs donneront de plus en plus la priorité à la validation des entrées et aux techniques de désérialisation plus sûres. De plus, les outils de sécurité automatisés continueront d’améliorer la détection et l’atténuation des vulnérabilités de désérialisation non sécurisées.
Comment les serveurs proxy peuvent être utilisés ou associés à la désérialisation non sécurisée
Les serveurs proxy jouent un rôle crucial dans la sécurité Web en interceptant et en filtrant le trafic entre les clients et les serveurs. Ils peuvent être utilisés pour détecter et bloquer les requêtes malveillantes contenant des données sérialisées manipulées, fournissant ainsi une couche de défense supplémentaire contre les attaques de désérialisation non sécurisées.
Liens connexes
Pour plus d’informations sur la désérialisation non sécurisée et la sécurité des applications Web, envisagez d’explorer les ressources suivantes :
- Aide-mémoire pour la désérialisation OWASP
- Guide de sécurité des applications NIST
- Codage sécurisé SANS
En conclusion, comprendre la désérialisation non sécurisée est vital pour les développeurs, les professionnels de la sécurité et les entreprises afin de garantir la sécurité et l'intégrité des applications Web. En mettant en œuvre les meilleures pratiques, en utilisant des bibliothèques sécurisées et en restant vigilants contre les menaces émergentes, nous pouvons renforcer nos systèmes contre les exploits potentiels et protéger les données sensibles contre tout accès et manipulation non autorisés.
