Merhabalar arkadaşlar, Sitemizi programlama ile ilgilenen bütün arkadaşlarımızın türkçe içerik konusunda çektiği sıkıntılar düşünülerek soru/cevap şeklinde bir etkileşimde bulunabilmesi için kurduk. Umuyoruz hepimiz için güzel bir deneyim olur. Hasscript Ekibi

Sorunuz mu var? Belki de çoktan soruldu..

0
Insecure Deserialization nedir?

Açık 1 Cevaplar 219 Gösterim Genel Kavramlar

Güvenlik açıkları sıralamasında üst önceliklerdeki bir kavram olarak Insecure Deserialization   ne demektir? Nasıl başa gelir? Nasıl engellenir?

1 cevap

0

OWASP'ın verdiği top 10 güvenlik açıklarından biridir.

Temel olarak serialize edilmiş bir verinin deserialize edilmesiyle oluşabilecek problemlerin genel adıdır.

Bu konuyu anlamak için öncelikle serialization ve deserializationu bilmek gerekir.

Serialization, elimizdeki bir objeyi disk/network üzerine yazabileceğimiz bir yapıya çevirme işlemine diyoruz. Veri genellikle binary olarak çevrilir, json veya xml de kullanılan yöntemlerdendir.

Deserialization, haliyle serialize edilmiş bilginin terkrar objeye çevrilmesine denir.

Bir şekilde serialize edilen bilgi bir kod parçası olursa deserialize edildiği zaman çalışacak hale gelebilir. Bunun en bilinen örneği yml dosyaları oluyor ki yml içide json kod parçası eklenip deserialize edildiği zaman otomatik çalışabiliyor.

foo: !!python/object/apply:subprocess.check_output ['whoami']

Bu problemden sakınmak için güvenilir kaynaklardan veri taşınması yapılmalıdır.

 

(4.2k puan)