La d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e est une vuln\u00e9rabilit\u00e9 qui existe dans les applications Web, permettant aux attaquants de manipuler des donn\u00e9es et potentiellement d'ex\u00e9cuter du code arbitraire en exploitant le processus de d\u00e9s\u00e9rialisation. Cette faille de s\u00e9curit\u00e9 survient lorsqu'une application convertit aveugl\u00e9ment des donn\u00e9es s\u00e9rialis\u00e9es en objets sans validation appropri\u00e9e, entra\u00eenant de graves cons\u00e9quences, telles qu'un acc\u00e8s non autoris\u00e9, une falsification des donn\u00e9es et l'ex\u00e9cution de code \u00e0 distance.<\/p>\n
Le concept de s\u00e9rialisation remonte aux d\u00e9buts de l'informatique, lorsque les d\u00e9veloppeurs avaient besoin d'un moyen de stocker et de transmettre efficacement les donn\u00e9es. La premi\u00e8re mention de la d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e en tant que probl\u00e8me de s\u00e9curit\u00e9 remonte \u00e0 une pr\u00e9sentation de Philippe Delteil et Stefano Di Paola lors de la conf\u00e9rence OWASP AppSec en 2006. Ils ont soulign\u00e9 les risques associ\u00e9s aux vuln\u00e9rabilit\u00e9s de la d\u00e9s\u00e9rialisation, ouvrant la voie \u00e0 des recherches et \u00e0 une sensibilisation plus approfondies. la communaut\u00e9 de la s\u00e9curit\u00e9.<\/p>\n
La d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e se produit lorsqu'une application prend des donn\u00e9es s\u00e9rialis\u00e9es, souvent dans des formats tels que JSON, XML ou la s\u00e9rialisation native de PHP, et les reconvertit en objets ou structures de donn\u00e9es. Les attaquants peuvent exploiter ce processus en cr\u00e9ant des donn\u00e9es s\u00e9rialis\u00e9es manipul\u00e9es de mani\u00e8re malveillante pour inciter l'application \u00e0 ex\u00e9cuter du code arbitraire.<\/p>\n
Au cours du processus de d\u00e9s\u00e9rialisation, l'application reconstruit g\u00e9n\u00e9ralement les objets \u00e0 partir des donn\u00e9es s\u00e9rialis\u00e9es en appelant les constructeurs de classe ou les m\u00e9thodes d'usine correspondantes. Le principal probl\u00e8me r\u00e9side dans le manque de validation appropri\u00e9e des entr\u00e9es et dans les contr\u00f4les de s\u00e9curit\u00e9 inad\u00e9quats au cours de ce processus. Les attaquants peuvent falsifier les donn\u00e9es s\u00e9rialis\u00e9es, injecter des charges utiles nuisibles ou modifier les propri\u00e9t\u00e9s des objets, entra\u00eenant un comportement involontaire, voire une compromission totale de l'application.<\/p>\n
Les vuln\u00e9rabilit\u00e9s de d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9es proviennent de la mani\u00e8re dont les donn\u00e9es s\u00e9rialis\u00e9es sont trait\u00e9es. Les \u00e9tapes suivantes illustrent son fonctionnement\u00a0:<\/p>\n
S\u00e9rialisation\u00a0: l'application convertit les objets ou les structures de donn\u00e9es dans un format s\u00e9rialis\u00e9 (par exemple, JSON ou XML) pour faciliter le stockage ou la transmission.<\/p>\n<\/li>\n
D\u00e9s\u00e9rialisation\u00a0: l'application prend les donn\u00e9es s\u00e9rialis\u00e9es et reconstruit les objets ou structures de donn\u00e9es d'origine.<\/p>\n<\/li>\n
Manque de validation\u00a0: une d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e survient lorsque l'application ne parvient pas \u00e0 valider les donn\u00e9es s\u00e9rialis\u00e9es entrantes, en supposant qu'elles proviennent toujours de sources fiables.<\/p>\n<\/li>\n
Charges utiles malveillantes\u00a0: les attaquants cr\u00e9ent soigneusement des donn\u00e9es s\u00e9rialis\u00e9es manipul\u00e9es, en int\u00e9grant du code nuisible ou en modifiant les propri\u00e9t\u00e9s des objets s\u00e9rialis\u00e9s.<\/p>\n<\/li>\n
Ex\u00e9cution de code\u00a0: lorsque les donn\u00e9es s\u00e9rialis\u00e9es manipul\u00e9es sont d\u00e9s\u00e9rialis\u00e9es, l'application ex\u00e9cute sans le savoir le code malveillant, conduisant \u00e0 des exploits potentiels.<\/p>\n<\/li>\n<\/ol>\n
Les principales caract\u00e9ristiques de la d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e peuvent \u00eatre r\u00e9sum\u00e9es comme suit\u00a0:<\/p>\n
Facilit\u00e9 d'exploitation<\/strong>: La d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e est relativement facile \u00e0 exploiter, ce qui en fait une cible populaire pour les attaquants.<\/p>\n<\/li>\n Attaques furtives<\/strong>: \u00c9tant donn\u00e9 que les vuln\u00e9rabilit\u00e9s de d\u00e9s\u00e9rialisation ne n\u00e9cessitent aucun t\u00e9l\u00e9chargement de fichiers ni injection directe de code, les attaquants peuvent op\u00e9rer secr\u00e8tement, \u00e9chappant aux mesures de s\u00e9curit\u00e9 traditionnelles.<\/p>\n<\/li>\n Cons\u00e9quences percutantes<\/strong>: Les attaques r\u00e9ussies peuvent entra\u00eener un acc\u00e8s non autoris\u00e9, une falsification des donn\u00e9es ou l'ex\u00e9cution de code \u00e0 distance, conduisant potentiellement \u00e0 une compromission compl\u00e8te du syst\u00e8me.<\/p>\n<\/li>\n Charges utiles impr\u00e9visibles<\/strong>: Les attaquants peuvent cr\u00e9er des charges utiles personnalis\u00e9es pour exploiter l'application de mani\u00e8re unique et inattendue.<\/p>\n<\/li>\n<\/ul>\n Les vuln\u00e9rabilit\u00e9s de d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e peuvent \u00eatre class\u00e9es en diff\u00e9rents types en fonction des vecteurs d'attaque sp\u00e9cifiques ou du langage de programmation utilis\u00e9. Voici quelques types courants\u00a0:<\/p>\nTypes de d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e<\/h2>\n