検出

Java オブジェクトの逆シリアル化

critical Web App Scanning プラグイン ID 98780

Language:

概要

Java オブジェクトの逆シリアル化

説明

シリアル化は、オブジェクトをバイトストリームに変換して、保存したりネットワーク経由で送信したりするプロセスです。反対に、逆シリアル化は、このバイトストリームからオブジェクトを再構築するプロセスです。

アプリケーションが信頼できないデータの逆シリアル化を実行するとき、攻撃者がカスタムシリアル化された Java オブジェクトを注入して、システム上で悪意のあるコードの実行をトリガーしたり、サービス拒否攻撃 (DoS) を発生させたりする可能性があります。

ターゲットの Java アプリケーションは、ユーザー指定のオブジェクトを逆シリアル化するため、この攻撃に対して脆弱であることが判明しました。

ソリューション

信頼できないデータをアプリケーションで逆シリアル化しないでください。必要に応じて、コードのレビューを行い、任意のクラスの逆シリアル化を防止し、プロセス全体を強化する必要があります。

参考資料

https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

https://resources.infosecinstitute.com/10-steps-avoid-insecure-deserialization/#gref

https://www.owasp.org/index.php/Deserialization_of_untrusted_data

プラグインの詳細

深刻度: Critical

ID: 98780

タイプ: remote

ファミリー: Web Applications

公開日: 2020/10/7

更新日: 2023/12/1

スキャン テンプレート: api, pci, scan

リスク情報

VPR

リスクファクター: High

スコア: 7.5

CVSS v2

リスクファクター: High

基本値: 7.6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Critical

基本値: 9

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS スコアのソース: Tenable

脆弱性情報

エクスプロイトが利用可能: true

参照情報