与其他耸人听闻的威胁向量相比,序列化攻击是鲜为人知的威胁向量。它们也不常见,因为它们需要更高水平的专业知识才能成功执行攻击。如果攻击者成功利用序列化漏洞,可能会导致数据泄露和其他网络攻击。鉴于其严重性和致命性,以及其预防所涉及的挑战,序列化攻击在OWASP 十大应用程序安全风险列表中被列为不安全的反序列化。在本文中,我们将进一步研究这些攻击并讨论防止它们的方法。
序列化攻击:深入探讨
序列化和反序列化
要了解这些攻击的工作原理,了解序列化和反序列化的基本概念和区别非常重要。序列化是一个过程,其中复杂的数据结构(例如对象及其字段)被转换为“更扁平”的格式,可以作为顺序字节流发送和接收。编程语言使用二进制或字符串格式来序列化对象。流行的序列化格式包括 CSV、JSON 和 XML。
序列化是应用程序中为轻松存储和传输数据而必需的基本功能。通过将复杂的数据结构转换为更扁平的格式,序列化减少了数据的磁盘空间和带宽以及需求。它用于 Web 服务、数据库和缓存服务器。
反序列化是反向过程,其中读取顺序字节流并将其恢复为其原始数据结构。换句话说,它是从序列化形式在内存中重新创建对象及其字段的过程。序列化和反序列化在安全实施时是强大的存储和数据传输过程。
什么是序列化攻击?它们是如何工作的?
假设攻击者向应用程序或 API 端点发送一个被破坏/包含恶意负载(例如修改的 JSON 负载)的序列化对象,希望用户执行他们插入到应用程序中的未经验证、不受信任的输入。
当用户将攻击者发送的此类未经验证的恶意/敌对数据直接反序列化到内存结构中时,就会发生序列化攻击。攻击成功是因为应用程序存在不安全的反序列化漏洞。
在序列化攻击的另一种情况下,当序列化对象未通过防篡改的加密通道传输时,攻击者可能会拦截在两个服务器之间传输的序列化对象。如果对象中包含敏感数据,或者其字段被序列化,这可能会很危险。
攻击者利用序列化漏洞获取对应用程序/系统/网络的访问权限和/或泄露数据。这些攻击可能导致远程代码执行、数据泄露、勒索软件攻击、访问控制攻击、DoS 攻击、服务器崩溃、身份验证绕过、SQL 注入、路径遍历等
应用程序何时容易受到这些攻击?
在当今高度互联、依赖广泛的 IT 环境中,难以管理的类和方法越来越多。攻击者可以使用这些类和方法中的任何一个来编排攻击。这些不断增长的依赖关系是序列化漏洞的来源。
如果应用程序在没有检查和验证过程的情况下天真地反序列化所有输入,它就会让自己面临不安全的反序列化。敏感数据的序列化也会使应用程序面临高风险的攻击。
即使序列化和反序列化的端点都由组织控制,应用程序也可能容易受到这些攻击。如果数据传输没有通过加密传输中的数据的 TLS/SSL 协议进行保护,则可能会发生这种情况。
如果应用程序允许攻击者访问加载序列化数据的接口,则该应用程序很容易受到序列化攻击。例如,如果 Web 会话信息使用 cookie 存储在客户端缓存中,则用户可以访问 cookie 数据。攻击者可以利用这种访问权限来篡改 cookie,例如,更改访问控制并获得对系统的访问权限。
防止序列化攻击
- 必须避免对敏感数据进行序列化。只要有可能,开发人员应编写特定于类的序列化方法,以确保敏感字段和内部状态不会暴露给序列化流。
- 除非绝对必要,否则必须避免输入数据的反序列化。必须严格避免对不受信任和未经验证的输入进行反序列化。必须使用智能 Web 应用程序防火墙 (WAF)、数字签名和其他强大的安全措施来确保序列化对象不被篡改。
- 在安全的低权限环境中隔离和运行反序列化的对象/代码。
- 维护包含反序列化失败和异常的日志。
- 搭载将智能自动化与经过认证的安全专家值得信赖的专业知识相结合的安全解决方案。
底线
序列化和反序列化是强大的工具,但需要安全地执行以确保它们不会适得其反。Indusface 的托管和直观安全解决方案将黑名单和白名单模型、分析、行为和模式分析、直观的 WAF 与定制和定期调整的策略和威胁情报相结合,以加强应用程序免受序列化攻击。
文章链接: https://www.mfisp.com/11298.html
文章标题:什么是序列化攻击以及如何防止它们?
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
