Insecure Deserialization

Insecure Deserialization

Copyright ┬ę Shutterstock / DreamStockIcons

Was ist Insecure Deserialization?

Insecure Deserialization bezeichnet eine typische Schwachstelle in Webanwendungen, die regelm├Ą├čig in der OWASP Top 10 auftaucht. Dies ist eine Liste der Non-Profit-Organisation Open Web Application Security Project, die sich f├╝r Sicherheit von Webanwendungen und des Internets engagiert.

Beschreibung

Zur Funktionsweise von Webanwendungen geh├Ârt die ├ťbertragung von Objekten, die Variablen und verschiedene Informationen umfassen. Solche Sammlungen von Daten werden zu einer Dateneinheit zusammengefasst, man spricht dabei von Serialisierung. Diese Einheit kann dann z.B. verschl├╝sselt oder signiert werden. Der umgekehrte Vorgang wird Deserialisierung genannt. Danach liegen wieder die Daten des Objekts als Einzelbestandteile vor.

Bei Insecure Deserialization k├Ânnen Angreifer b├Âsartige Daten mithilfe von serialisierten Objekten ├╝bertragen, die bei der Deserialisierung unentdeckt bleiben. Dies passiert, wenn keine Integrit├Ątspr├╝fung durchgef├╝hrt wurde und deserialisierte Daten nicht bereinigt oder validiert werden.

Auswirkungen

Auswirkungen von ausgenutzter Insecure Deserialization h├Ąngen davon ab, wie das deserialisierte Objekt verwendet wird. Die Fernausf├╝hrung von Programmcode oder die unautorisierte Ausf├╝hrung von Befehlen ist m├Âglich. In vielen F├Ąllen ist die unsichere Deserialisierung nur eine M├Âglichkeit zum ├ťbertragen b├Âsartiger Daten, die sich auf eine andere Sicherheitsschwachstelle auswirken und so die Klassifizierung der allgemeinen Auswirkungen erschwert.
Um Insecure Deserialization auszunutzen, ist h├Ąufig manuelle Arbeit erforderlich, wodurch automatisierte Angriffe weniger wahrscheinlich sind. Wenn ein Angriff jedoch einmal f├╝r ein System erfolgreich war, kann er f├╝r alle Systeme, auf denen die gleichen Anwendungen ausgef├╝hrt werden, automatisiert werden.

Vermeidung

Deserialisierte Daten sind als zu validierende Benutzereingaben zu handhaben und nicht als vertrauensw├╝rdige interne Daten. Zu beachten sind Sicherheitswarnungen, die Funktionen zur Serialisierung und Deserialisierung z.┬áB. in Frameworks ausgeben k├Ânnen. Wenn ein serialisiertes Objekt zwischen zwei vertrauensw├╝rdigen Systemen gesendet wird (z.┬áB. zwischen Client und Server), ist sicherzustellen, dass das Objekt nicht ge├Ąndert wurde. Dies kann mit einer Pr├╝fsumme oder digitalen Signatur erfolgen. Zur Deserialisierung sind die sichersten Funktionsvarianten zu w├Ąhlen.

 

Hinweis

Wenn Sie noch mehr Informationen zum Thema OWASP Top 10 ben├Âtigen, k├Ânnen Sie diese gerne auf unserem Glossar der OSG nachlesen.

Zum Artikel

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte