Nowe zagrożenie: .NET i JSON mogą prowadzić do zdalnego wykonania kodu!

Nowe zagrożenie: .NET i JSON mogą prowadzić do zdalnego wykonania kodu!

2017-09-25 11:30 Redakcja

Świat bezpieczeństwa IT wstrzymał oddech po ujawnieniu projektu ysoserial.net, który staje się odpowiednikiem znanego narzędzia ysoserial dla Javy. To narzędzie generuje ciąg znaków, który po deserializacji na serwerze umożliwia atakującemu wykonanie dowolnego kodu.

Przykłady takich luk w systemie można zobaczyć w różnych kontekstach, w tym w deserializacji z JSON oraz przy użyciu ciasteczek, które mają chronić przed CSRF. Szczególnie niebezpieczne są przypadki związane z Dotnetnuke, gdzie deserializacja z XML również stwarza poważne zagrożenia.

Warto przypomnieć, że podobne problemy z deserializacją miały miejsce podczas głośnego ataku na Equifax, gdzie błąd w bibliotece Apache Struts doprowadził do katastrofalnych skutków. W kontekście .NET, temat deserializacji zyskuje na znaczeniu i wymaga pilnej uwagi programistów oraz specjalistów ds. bezpieczeństwa.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.