PHP オブジェクトの逆シリアル化

critical Web App Scanning プラグイン ID 113237

概要

PHP オブジェクトの逆シリアル化

説明

シリアル化は、オブジェクトをバイトストリームに変換して、保存したりネットワーク経由で送信したりするプロセスです。反対に、逆シリアル化は、このバイトストリームからオブジェクトを再構築するプロセスです。

PHP ウェブアプリケーションが「unserialize()」関数を使ってユーザー提供データの逆シリアル化を実行するとき、攻撃者がカスタムシリアル化された PHP オブジェクトを注入して、システム上でリモートコードを実行したり、サービス拒否攻撃 (DoS) を発生させたりする可能性があります。

ソリューション

信頼できないデータをアプリケーションで逆シリアル化しないでください。必要に応じて、コードのレビューを行い、任意のクラスの逆シリアル化を防止し、プロセス全体を強化する必要があります。

参考資料

https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

https://owasp.org/www-community/vulnerabilities/PHP_Object_Injection

https://resources.infosecinstitute.com/10-steps-avoid-insecure-deserialization

https://www.owasp.org/index.php/Deserialization_of_untrusted_data

プラグインの詳細

深刻度: Critical

ID: 113237

タイプ: remote

ファミリー: Web Applications

公開日: 2022/6/28

更新日: 2024/2/8

スキャン テンプレート: api, pci, scan

リスク情報

VPR

リスクファクター: High

スコア: 7.5

CVSS v2

リスクファクター: High

基本値: 7.6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Critical

基本値: 9

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS スコアのソース: Tenable

参照情報