安全でないデシリアライゼーション
OWASP Top 10 2017
で提唱された
脆弱性
の1類型。
A8:2017-安全でないデシリアライゼーション
A08 ソフトウェアとデータの整合性の不具合 - OWASP Top 10:2021
「シナリオ#3 安全でないデシリアライゼーション」として再整理された
主に2点の問題があるとされる
権限の侵害
Cookieの値やフォームの内容の改竄で不当に権限を付与するなど
Mass Assignment脆弱性
もこれに含まれるかもしれない
デシリアライズ
の過程でユーザーの任意のクラスを生成する可能性
任意のクラスが生成できないという点で
serialize()
よりも
JSON
の方が耐性があると言うことはできるが、権限に関する問題は
データシリアライゼーションフォーマット
を変えるだけでは解決しないという点で注意されたい。
#セキュリティ