OWASP'ın verdiği top 10 güvenlik açıklarından biridir.
Temel olarak serialize edilmiş bir verinin deserialize edilmesiyle oluşabilecek problemlerin genel adıdır.
Bu konuyu anlamak için öncelikle serialization ve deserializationu bilmek gerekir.
Serialization, elimizdeki bir objeyi disk/network üzerine yazabileceğimiz bir yapıya çevirme işlemine diyoruz. Veri genellikle binary olarak çevrilir, json veya xml de kullanılan yöntemlerdendir.
Deserialization, haliyle serialize edilmiş bilginin terkrar objeye çevrilmesine denir.
Bir şekilde serialize edilen bilgi bir kod parçası olursa deserialize edildiği zaman çalışacak hale gelebilir. Bunun en bilinen örneği yml dosyaları oluyor ki yml içide json kod parçası eklenip deserialize edildiği zaman otomatik çalışabiliyor.
foo: !!python/object/apply:subprocess.check_output ['whoami']
Bu problemden sakınmak için güvenilir kaynaklardan veri taşınması yapılmalıdır.
