與其他聳人聽聞的威脅向量相比，序列化攻擊是鮮為人知的威脅向量。它們也不常見，因為它們需要更高水平的專業知識才能成功執行攻擊。如果攻擊者成功利用序列化漏洞，可能會導致數據泄露和其他網絡攻擊。鑒于其嚴重性和致命性，以及其預防所涉及的挑戰，序列化攻擊在OWASP 十大應用程序安全風險列表中被列為不安全的反序列化。在本文中，我們將進一步研究這些攻擊并討論防止它們的方法。

序列化攻擊：深入探討

序列化和反序列化

要了解這些攻擊的工作原理，了解序列化和反序列化的基本概念和區別非常重要。序列化是一個過程，其中復雜的數據結構（例如對象及其字段）被轉換為“更扁平”的格式，可以作為順序字節流發送和接收。編程語言使用二進制或字符串格式來序列化對象。流行的序列化格式包括 CSV、JSON 和 XML。

序列化是應用程序中為輕松存儲和傳輸數據而必需的基本功能。通過將復雜的數據結構轉換為更扁平的格式，序列化減少了數據的磁盤空間和帶寬以及需求。它用于 Web 服務、數據庫和緩存服務器。

反序列化是反向過程，其中讀取順序字節流并將其恢復為其原始數據結構。換句話說，它是從序列化形式在內存中重新創建對象及其字段的過程。序列化和反序列化在安全實施時是強大的存儲和數據傳輸過程。

什么是序列化攻擊？它們是如何工作的？

假設攻擊者向應用程序或 API 端點發送一個被破壞/包含惡意負載（例如修改的 JSON 負載）的序列化對象，希望用戶執行他們插入到應用程序中的未經驗證、不受信任的輸入。

當用戶將攻擊者發送的此類未經驗證的惡意/敵對數據直接反序列化到內存結構中時，就會發生序列化攻擊。攻擊成功是因為應用程序存在不安全的反序列化漏洞。

在序列化攻擊的另一種情況下，當序列化對象未通過防篡改的加密通道傳輸時，攻擊者可能會攔截在兩個服務器之間傳輸的序列化對象。如果對象中包含敏感數據，或者其字段被序列化，這可能會很危險。

攻擊者利用序列化漏洞獲取對應用程序/系統/網絡的訪問權限和/或泄露數據。這些攻擊可能導致遠程代碼執行、數據泄露、勒索軟件攻擊、訪問控制攻擊、DoS 攻擊、服務器崩潰、身份驗證繞過、SQL 注入、路徑遍歷等

應用程序何時容易受到這些攻擊？

在當今高度互聯、依賴廣泛的 IT 環境中，難以管理的類和方法越來越多。攻擊者可以使用這些類和方法中的任何一個來編排攻擊。這些不斷增長的依賴關系是序列化漏洞的來源。

如果應用程序在沒有檢查和驗證過程的情況下天真地反序列化所有輸入，它就會讓自己面臨不安全的反序列化。敏感數據的序列化也會使應用程序面臨高風險的攻擊。

即使序列化和反序列化的端點都由組織控制，應用程序也可能容易受到這些攻擊。如果數據傳輸沒有通過加密傳輸中的數據的 TLS/SSL 協議進行保護，則可能會發生這種情況。

如果應用程序允許攻擊者訪問加載序列化數據的接口，則該應用程序很容易受到序列化攻擊。例如，如果 Web 會話信息使用 cookie 存儲在客戶端緩存中，則用戶可以訪問 cookie 數據。攻擊者可以利用這種訪問權限來篡改 cookie，例如，更改訪問控制并獲得對系統的訪問權限。

防止序列化攻擊

• 必須避免對敏感數據進行序列化。只要有可能，開發人員應編寫特定于類的序列化方法，以確保敏感字段和內部狀態不會暴露給序列化流。
• 除非絕對必要，否則必須避免輸入數據的反序列化。必須嚴格避免對不受信任和未經驗證的輸入進行反序列化。必須使用智能 Web 應用程序防火墻 (WAF)、數字簽名和其他強大的安全措施來確保序列化對象不被篡改。
• 在安全的低權限環境中隔離和運行反序列化的對象/代碼。
• 維護包含反序列化失敗和異常的日志。
• 搭載將智能自動化與經過認證的安全專家值得信賴的專業知識相結合的安全解決方案。

底線

序列化和反序列化是強大的工具，但需要安全地執行以確保它們不會適得其反。Indusface 的托管和直觀安全解決方案將黑名單和白名單模型、分析、行為和模式分析、直觀的 WAF 與定制和定期調整的策略和威脅情報相結合，以加強應用程序免受序列化攻擊。