코더들이 보안을 정복하다: Share & Learn 시리즈 - 안전하지 않은 역직렬화
응용 프로그램에 따라 직렬화 프로세스가 항상 발생할 수 있습니다.이 용어는 데이터 구조나 객체 상태를 저장하거나 통신으로 전송할 수 있는 형식으로 변환할 때마다 이를 설명하는 데 사용되는 용어입니다.역직렬화는 이 프로세스와 정반대입니다. 즉, 현재 구조화된 데이터를 가져와서 저장하기 전의 객체 또는 데이터 문자열로 되돌립니다.
애플리케이션에서 역직렬화되는 데이터를 신뢰할 수 있는 것으로 취급할 때마다 안전하지 않은 역직렬화가 발생할 수 있습니다.사용자가 새로 재구성된 데이터를 수정할 수 있는 경우 코드 삽입, 서비스 거부 공격 또는 단순히 데이터 변경과 같은 모든 종류의 악의적인 활동을 수행하여 애플리케이션 내에서 객체 가격 인하나 권한 상승과 같은 이점을 얻을 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 공격자가 안전하지 않은 역직렬화를 악용할 수 있는 방법
- 안전하지 않은 역직렬화가 위험한 이유
- 이 취약점을 해결할 수 있는 기술
공격자는 안전하지 않은 역직렬화를 어떻게 악용할까요?
오늘날 데이터를 직렬화하는 데 가장 많이 사용되는 데이터 형식은 JSON이지만 XML은 두 번째에 가깝습니다.상당수의 프로그래밍 언어는 자체 데이터 직렬화 메서드도 제공합니다. 이러한 메서드에는 종종 JSON이나 XML보다 더 많은 기능이 포함되어 있습니다.어쨌든 개발자가 이 시리즈의 다른 블로그에서 “절대 사용자 입력을 믿지 마세요!” 라는 오래된 말을 따르는 것과는 대조적으로 역직렬화된 데이터를 신뢰할 수 있는 입력으로 처리하도록 앱을 프로그래밍하면 문제가 발생할 수 있습니다.
사용자가 해당 문자열에 코드를 삽입할 수 있기 때문에 사용자 입력은 절대 신뢰할 수 없습니다. 수신 서버에서 실수로 코드를 실행할 수 있기 때문입니다.또한 역직렬화된 원시 데이터도 때때로 액세스하여 악용될 수 있으므로 이 데이터도 마찬가지로 신뢰할 수 없는 범주에 속해야 합니다.
예를 들어 포럼 애플리케이션에서 PHP 객체 직렬화를 사용하여 사용자의 ID와 역할이 포함된 쿠키를 저장하면 이를 조작할 수 있습니다.악의적인 사용자는 대신 자신의 “사용자” 역할을 “관리자”로 변경할 수 있습니다.또는 데이터 문자열에서 제공하는 시작 부분을 사용하여 코드를 삽입할 수 있습니다. 이 경우 서버가 “신뢰할 수 있는” 데이터를 처리할 때 해당 코드를 잘못 해석하여 실행할 수 있습니다.
안전하지 않은 역직렬화가 위험한 이유는 무엇입니까?
이런 종류의 공격에는 해커의 기술이 어느 정도 필요한 것이 사실이며, 때로는 공격자가 조작되고 역직렬화된 데이터로부터 서버가 어떤 종류의 코드나 악용을 받아들일지 알아내는 동안 시행착오를 겪기도 합니다.그렇긴 하지만, 이 취약점은 해당 취약점을 사용할 수 있을 만큼 숙련된 해커에게 잠재적인 힘을 줄 수 있기 때문에 흔히 악용되는 취약점입니다.
역직렬화된 데이터를 사용하는 방식에 따라 이전 블로그에서 다룬 많은 공격을 포함하여 얼마든지 공격이 사용될 수 있습니다.안전하지 않은 역직렬화는 원격 크로스 코드 삽입, 크로스 사이트 스크립팅, 서비스 거부, 액세스 제어 하이재킹은 물론 SQL 및 XML 인젝션 공격의 관문이 될 수 있습니다.이를 통해 시작점이 열리고, 역직렬화되는 모든 데이터를 신뢰할 수 있는 것으로 선언하고, 공격자가 이를 악용할 수 있습니다.
안전하지 않은 역직렬화 제거
안전하지 않은 역직렬화를 방지하기 위해 조직에서 할 수 있는 가장 안전한 방법은 애플리케이션이 역직렬화된 데이터를 수락하지 못하도록 제한하는 것입니다.하지만 이것이 불가능하거나 현실적이지 않을 수도 있지만 걱정할 필요는 없습니다. 이런 종류의 공격을 방어하기 위해 사용할 수 있는 다른 기술이 있기 때문입니다.
가능하면 데이터를 숫자형 값과 같은 값으로 정리할 수 있습니다.이렇게 하면 익스플로잇을 완전히 막을 수는 없지만 코드 삽입이 발생하는 것을 방지할 수 있습니다.더 좋은 방법은 디지털 서명과 같이 역직렬화된 데이터에 대해 일종의 무결성 검사를 요구하는 것인데, 이를 통해 데이터 문자열이 조작되지 않았는지 확인할 수 있습니다.그리고 모든 역직렬화 프로세스는 격리되어 낮은 권한 환경에서 실행되어야 합니다.
이러한 보호 기능을 갖추었으면 실패한 모든 역직렬화 시도와 데이터를 역직렬화하는 컨테이너 또는 서버에서 발생하는 네트워크 활동을 기록해야 합니다.사용자가 로그에서 두 번 이상의 역직렬화 오류를 발생시킨다면 악의적인 내부자이거나 자격 증명이 해킹되거나 도난당했다는 의미로 볼 수 있습니다.지속적으로 역직렬화 오류를 유발하는 사용자에 대한 자동 잠금 같은 것도 고려해 볼 수 있습니다.
안전하지 않은 역직렬화를 막기 위해 어떤 도구를 사용하든 핵심은 사용자가 터치하거나 조작했을 수 있는 데이터라는 점을 기억하세요.절대 믿지 마세요.
알려진 취약점이 있는 구성 요소 사용에 대한 추가 정보
자세한 내용을 보려면 OWASP의 내용을 살펴보십시오. 안전하지 않은 역직렬화에 대해.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 쇼케이스 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
애플리케이션에서 역직렬화되는 데이터를 신뢰할 수 있는 것으로 취급할 때마다 안전하지 않은 역직렬화가 발생할 수 있습니다.사용자가 새로 재구성된 데이터를 수정할 수 있는 경우 코드 삽입, 서비스 거부 공격 또는 권한 상승과 같은 모든 종류의 악의적 활동을 수행할 수 있습니다.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
응용 프로그램에 따라 직렬화 프로세스가 항상 발생할 수 있습니다.이 용어는 데이터 구조나 객체 상태를 저장하거나 통신으로 전송할 수 있는 형식으로 변환할 때마다 이를 설명하는 데 사용되는 용어입니다.역직렬화는 이 프로세스와 정반대입니다. 즉, 현재 구조화된 데이터를 가져와서 저장하기 전의 객체 또는 데이터 문자열로 되돌립니다.
애플리케이션에서 역직렬화되는 데이터를 신뢰할 수 있는 것으로 취급할 때마다 안전하지 않은 역직렬화가 발생할 수 있습니다.사용자가 새로 재구성된 데이터를 수정할 수 있는 경우 코드 삽입, 서비스 거부 공격 또는 단순히 데이터 변경과 같은 모든 종류의 악의적인 활동을 수행하여 애플리케이션 내에서 객체 가격 인하나 권한 상승과 같은 이점을 얻을 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 공격자가 안전하지 않은 역직렬화를 악용할 수 있는 방법
- 안전하지 않은 역직렬화가 위험한 이유
- 이 취약점을 해결할 수 있는 기술
공격자는 안전하지 않은 역직렬화를 어떻게 악용할까요?
오늘날 데이터를 직렬화하는 데 가장 많이 사용되는 데이터 형식은 JSON이지만 XML은 두 번째에 가깝습니다.상당수의 프로그래밍 언어는 자체 데이터 직렬화 메서드도 제공합니다. 이러한 메서드에는 종종 JSON이나 XML보다 더 많은 기능이 포함되어 있습니다.어쨌든 개발자가 이 시리즈의 다른 블로그에서 “절대 사용자 입력을 믿지 마세요!” 라는 오래된 말을 따르는 것과는 대조적으로 역직렬화된 데이터를 신뢰할 수 있는 입력으로 처리하도록 앱을 프로그래밍하면 문제가 발생할 수 있습니다.
사용자가 해당 문자열에 코드를 삽입할 수 있기 때문에 사용자 입력은 절대 신뢰할 수 없습니다. 수신 서버에서 실수로 코드를 실행할 수 있기 때문입니다.또한 역직렬화된 원시 데이터도 때때로 액세스하여 악용될 수 있으므로 이 데이터도 마찬가지로 신뢰할 수 없는 범주에 속해야 합니다.
예를 들어 포럼 애플리케이션에서 PHP 객체 직렬화를 사용하여 사용자의 ID와 역할이 포함된 쿠키를 저장하면 이를 조작할 수 있습니다.악의적인 사용자는 대신 자신의 “사용자” 역할을 “관리자”로 변경할 수 있습니다.또는 데이터 문자열에서 제공하는 시작 부분을 사용하여 코드를 삽입할 수 있습니다. 이 경우 서버가 “신뢰할 수 있는” 데이터를 처리할 때 해당 코드를 잘못 해석하여 실행할 수 있습니다.
안전하지 않은 역직렬화가 위험한 이유는 무엇입니까?
이런 종류의 공격에는 해커의 기술이 어느 정도 필요한 것이 사실이며, 때로는 공격자가 조작되고 역직렬화된 데이터로부터 서버가 어떤 종류의 코드나 악용을 받아들일지 알아내는 동안 시행착오를 겪기도 합니다.그렇긴 하지만, 이 취약점은 해당 취약점을 사용할 수 있을 만큼 숙련된 해커에게 잠재적인 힘을 줄 수 있기 때문에 흔히 악용되는 취약점입니다.
역직렬화된 데이터를 사용하는 방식에 따라 이전 블로그에서 다룬 많은 공격을 포함하여 얼마든지 공격이 사용될 수 있습니다.안전하지 않은 역직렬화는 원격 크로스 코드 삽입, 크로스 사이트 스크립팅, 서비스 거부, 액세스 제어 하이재킹은 물론 SQL 및 XML 인젝션 공격의 관문이 될 수 있습니다.이를 통해 시작점이 열리고, 역직렬화되는 모든 데이터를 신뢰할 수 있는 것으로 선언하고, 공격자가 이를 악용할 수 있습니다.
안전하지 않은 역직렬화 제거
안전하지 않은 역직렬화를 방지하기 위해 조직에서 할 수 있는 가장 안전한 방법은 애플리케이션이 역직렬화된 데이터를 수락하지 못하도록 제한하는 것입니다.하지만 이것이 불가능하거나 현실적이지 않을 수도 있지만 걱정할 필요는 없습니다. 이런 종류의 공격을 방어하기 위해 사용할 수 있는 다른 기술이 있기 때문입니다.
가능하면 데이터를 숫자형 값과 같은 값으로 정리할 수 있습니다.이렇게 하면 익스플로잇을 완전히 막을 수는 없지만 코드 삽입이 발생하는 것을 방지할 수 있습니다.더 좋은 방법은 디지털 서명과 같이 역직렬화된 데이터에 대해 일종의 무결성 검사를 요구하는 것인데, 이를 통해 데이터 문자열이 조작되지 않았는지 확인할 수 있습니다.그리고 모든 역직렬화 프로세스는 격리되어 낮은 권한 환경에서 실행되어야 합니다.
이러한 보호 기능을 갖추었으면 실패한 모든 역직렬화 시도와 데이터를 역직렬화하는 컨테이너 또는 서버에서 발생하는 네트워크 활동을 기록해야 합니다.사용자가 로그에서 두 번 이상의 역직렬화 오류를 발생시킨다면 악의적인 내부자이거나 자격 증명이 해킹되거나 도난당했다는 의미로 볼 수 있습니다.지속적으로 역직렬화 오류를 유발하는 사용자에 대한 자동 잠금 같은 것도 고려해 볼 수 있습니다.
안전하지 않은 역직렬화를 막기 위해 어떤 도구를 사용하든 핵심은 사용자가 터치하거나 조작했을 수 있는 데이터라는 점을 기억하세요.절대 믿지 마세요.
알려진 취약점이 있는 구성 요소 사용에 대한 추가 정보
자세한 내용을 보려면 OWASP의 내용을 살펴보십시오. 안전하지 않은 역직렬화에 대해.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 쇼케이스 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
응용 프로그램에 따라 직렬화 프로세스가 항상 발생할 수 있습니다.이 용어는 데이터 구조나 객체 상태를 저장하거나 통신으로 전송할 수 있는 형식으로 변환할 때마다 이를 설명하는 데 사용되는 용어입니다.역직렬화는 이 프로세스와 정반대입니다. 즉, 현재 구조화된 데이터를 가져와서 저장하기 전의 객체 또는 데이터 문자열로 되돌립니다.
애플리케이션에서 역직렬화되는 데이터를 신뢰할 수 있는 것으로 취급할 때마다 안전하지 않은 역직렬화가 발생할 수 있습니다.사용자가 새로 재구성된 데이터를 수정할 수 있는 경우 코드 삽입, 서비스 거부 공격 또는 단순히 데이터 변경과 같은 모든 종류의 악의적인 활동을 수행하여 애플리케이션 내에서 객체 가격 인하나 권한 상승과 같은 이점을 얻을 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 공격자가 안전하지 않은 역직렬화를 악용할 수 있는 방법
- 안전하지 않은 역직렬화가 위험한 이유
- 이 취약점을 해결할 수 있는 기술
공격자는 안전하지 않은 역직렬화를 어떻게 악용할까요?
오늘날 데이터를 직렬화하는 데 가장 많이 사용되는 데이터 형식은 JSON이지만 XML은 두 번째에 가깝습니다.상당수의 프로그래밍 언어는 자체 데이터 직렬화 메서드도 제공합니다. 이러한 메서드에는 종종 JSON이나 XML보다 더 많은 기능이 포함되어 있습니다.어쨌든 개발자가 이 시리즈의 다른 블로그에서 “절대 사용자 입력을 믿지 마세요!” 라는 오래된 말을 따르는 것과는 대조적으로 역직렬화된 데이터를 신뢰할 수 있는 입력으로 처리하도록 앱을 프로그래밍하면 문제가 발생할 수 있습니다.
사용자가 해당 문자열에 코드를 삽입할 수 있기 때문에 사용자 입력은 절대 신뢰할 수 없습니다. 수신 서버에서 실수로 코드를 실행할 수 있기 때문입니다.또한 역직렬화된 원시 데이터도 때때로 액세스하여 악용될 수 있으므로 이 데이터도 마찬가지로 신뢰할 수 없는 범주에 속해야 합니다.
예를 들어 포럼 애플리케이션에서 PHP 객체 직렬화를 사용하여 사용자의 ID와 역할이 포함된 쿠키를 저장하면 이를 조작할 수 있습니다.악의적인 사용자는 대신 자신의 “사용자” 역할을 “관리자”로 변경할 수 있습니다.또는 데이터 문자열에서 제공하는 시작 부분을 사용하여 코드를 삽입할 수 있습니다. 이 경우 서버가 “신뢰할 수 있는” 데이터를 처리할 때 해당 코드를 잘못 해석하여 실행할 수 있습니다.
안전하지 않은 역직렬화가 위험한 이유는 무엇입니까?
이런 종류의 공격에는 해커의 기술이 어느 정도 필요한 것이 사실이며, 때로는 공격자가 조작되고 역직렬화된 데이터로부터 서버가 어떤 종류의 코드나 악용을 받아들일지 알아내는 동안 시행착오를 겪기도 합니다.그렇긴 하지만, 이 취약점은 해당 취약점을 사용할 수 있을 만큼 숙련된 해커에게 잠재적인 힘을 줄 수 있기 때문에 흔히 악용되는 취약점입니다.
역직렬화된 데이터를 사용하는 방식에 따라 이전 블로그에서 다룬 많은 공격을 포함하여 얼마든지 공격이 사용될 수 있습니다.안전하지 않은 역직렬화는 원격 크로스 코드 삽입, 크로스 사이트 스크립팅, 서비스 거부, 액세스 제어 하이재킹은 물론 SQL 및 XML 인젝션 공격의 관문이 될 수 있습니다.이를 통해 시작점이 열리고, 역직렬화되는 모든 데이터를 신뢰할 수 있는 것으로 선언하고, 공격자가 이를 악용할 수 있습니다.
안전하지 않은 역직렬화 제거
안전하지 않은 역직렬화를 방지하기 위해 조직에서 할 수 있는 가장 안전한 방법은 애플리케이션이 역직렬화된 데이터를 수락하지 못하도록 제한하는 것입니다.하지만 이것이 불가능하거나 현실적이지 않을 수도 있지만 걱정할 필요는 없습니다. 이런 종류의 공격을 방어하기 위해 사용할 수 있는 다른 기술이 있기 때문입니다.
가능하면 데이터를 숫자형 값과 같은 값으로 정리할 수 있습니다.이렇게 하면 익스플로잇을 완전히 막을 수는 없지만 코드 삽입이 발생하는 것을 방지할 수 있습니다.더 좋은 방법은 디지털 서명과 같이 역직렬화된 데이터에 대해 일종의 무결성 검사를 요구하는 것인데, 이를 통해 데이터 문자열이 조작되지 않았는지 확인할 수 있습니다.그리고 모든 역직렬화 프로세스는 격리되어 낮은 권한 환경에서 실행되어야 합니다.
이러한 보호 기능을 갖추었으면 실패한 모든 역직렬화 시도와 데이터를 역직렬화하는 컨테이너 또는 서버에서 발생하는 네트워크 활동을 기록해야 합니다.사용자가 로그에서 두 번 이상의 역직렬화 오류를 발생시킨다면 악의적인 내부자이거나 자격 증명이 해킹되거나 도난당했다는 의미로 볼 수 있습니다.지속적으로 역직렬화 오류를 유발하는 사용자에 대한 자동 잠금 같은 것도 고려해 볼 수 있습니다.
안전하지 않은 역직렬화를 막기 위해 어떤 도구를 사용하든 핵심은 사용자가 터치하거나 조작했을 수 있는 데이터라는 점을 기억하세요.절대 믿지 마세요.
알려진 취약점이 있는 구성 요소 사용에 대한 추가 정보
자세한 내용을 보려면 OWASP의 내용을 살펴보십시오. 안전하지 않은 역직렬화에 대해.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 쇼케이스 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
응용 프로그램에 따라 직렬화 프로세스가 항상 발생할 수 있습니다.이 용어는 데이터 구조나 객체 상태를 저장하거나 통신으로 전송할 수 있는 형식으로 변환할 때마다 이를 설명하는 데 사용되는 용어입니다.역직렬화는 이 프로세스와 정반대입니다. 즉, 현재 구조화된 데이터를 가져와서 저장하기 전의 객체 또는 데이터 문자열로 되돌립니다.
애플리케이션에서 역직렬화되는 데이터를 신뢰할 수 있는 것으로 취급할 때마다 안전하지 않은 역직렬화가 발생할 수 있습니다.사용자가 새로 재구성된 데이터를 수정할 수 있는 경우 코드 삽입, 서비스 거부 공격 또는 단순히 데이터 변경과 같은 모든 종류의 악의적인 활동을 수행하여 애플리케이션 내에서 객체 가격 인하나 권한 상승과 같은 이점을 얻을 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 공격자가 안전하지 않은 역직렬화를 악용할 수 있는 방법
- 안전하지 않은 역직렬화가 위험한 이유
- 이 취약점을 해결할 수 있는 기술
공격자는 안전하지 않은 역직렬화를 어떻게 악용할까요?
오늘날 데이터를 직렬화하는 데 가장 많이 사용되는 데이터 형식은 JSON이지만 XML은 두 번째에 가깝습니다.상당수의 프로그래밍 언어는 자체 데이터 직렬화 메서드도 제공합니다. 이러한 메서드에는 종종 JSON이나 XML보다 더 많은 기능이 포함되어 있습니다.어쨌든 개발자가 이 시리즈의 다른 블로그에서 “절대 사용자 입력을 믿지 마세요!” 라는 오래된 말을 따르는 것과는 대조적으로 역직렬화된 데이터를 신뢰할 수 있는 입력으로 처리하도록 앱을 프로그래밍하면 문제가 발생할 수 있습니다.
사용자가 해당 문자열에 코드를 삽입할 수 있기 때문에 사용자 입력은 절대 신뢰할 수 없습니다. 수신 서버에서 실수로 코드를 실행할 수 있기 때문입니다.또한 역직렬화된 원시 데이터도 때때로 액세스하여 악용될 수 있으므로 이 데이터도 마찬가지로 신뢰할 수 없는 범주에 속해야 합니다.
예를 들어 포럼 애플리케이션에서 PHP 객체 직렬화를 사용하여 사용자의 ID와 역할이 포함된 쿠키를 저장하면 이를 조작할 수 있습니다.악의적인 사용자는 대신 자신의 “사용자” 역할을 “관리자”로 변경할 수 있습니다.또는 데이터 문자열에서 제공하는 시작 부분을 사용하여 코드를 삽입할 수 있습니다. 이 경우 서버가 “신뢰할 수 있는” 데이터를 처리할 때 해당 코드를 잘못 해석하여 실행할 수 있습니다.
안전하지 않은 역직렬화가 위험한 이유는 무엇입니까?
이런 종류의 공격에는 해커의 기술이 어느 정도 필요한 것이 사실이며, 때로는 공격자가 조작되고 역직렬화된 데이터로부터 서버가 어떤 종류의 코드나 악용을 받아들일지 알아내는 동안 시행착오를 겪기도 합니다.그렇긴 하지만, 이 취약점은 해당 취약점을 사용할 수 있을 만큼 숙련된 해커에게 잠재적인 힘을 줄 수 있기 때문에 흔히 악용되는 취약점입니다.
역직렬화된 데이터를 사용하는 방식에 따라 이전 블로그에서 다룬 많은 공격을 포함하여 얼마든지 공격이 사용될 수 있습니다.안전하지 않은 역직렬화는 원격 크로스 코드 삽입, 크로스 사이트 스크립팅, 서비스 거부, 액세스 제어 하이재킹은 물론 SQL 및 XML 인젝션 공격의 관문이 될 수 있습니다.이를 통해 시작점이 열리고, 역직렬화되는 모든 데이터를 신뢰할 수 있는 것으로 선언하고, 공격자가 이를 악용할 수 있습니다.
안전하지 않은 역직렬화 제거
안전하지 않은 역직렬화를 방지하기 위해 조직에서 할 수 있는 가장 안전한 방법은 애플리케이션이 역직렬화된 데이터를 수락하지 못하도록 제한하는 것입니다.하지만 이것이 불가능하거나 현실적이지 않을 수도 있지만 걱정할 필요는 없습니다. 이런 종류의 공격을 방어하기 위해 사용할 수 있는 다른 기술이 있기 때문입니다.
가능하면 데이터를 숫자형 값과 같은 값으로 정리할 수 있습니다.이렇게 하면 익스플로잇을 완전히 막을 수는 없지만 코드 삽입이 발생하는 것을 방지할 수 있습니다.더 좋은 방법은 디지털 서명과 같이 역직렬화된 데이터에 대해 일종의 무결성 검사를 요구하는 것인데, 이를 통해 데이터 문자열이 조작되지 않았는지 확인할 수 있습니다.그리고 모든 역직렬화 프로세스는 격리되어 낮은 권한 환경에서 실행되어야 합니다.
이러한 보호 기능을 갖추었으면 실패한 모든 역직렬화 시도와 데이터를 역직렬화하는 컨테이너 또는 서버에서 발생하는 네트워크 활동을 기록해야 합니다.사용자가 로그에서 두 번 이상의 역직렬화 오류를 발생시킨다면 악의적인 내부자이거나 자격 증명이 해킹되거나 도난당했다는 의미로 볼 수 있습니다.지속적으로 역직렬화 오류를 유발하는 사용자에 대한 자동 잠금 같은 것도 고려해 볼 수 있습니다.
안전하지 않은 역직렬화를 막기 위해 어떤 도구를 사용하든 핵심은 사용자가 터치하거나 조작했을 수 있는 데이터라는 점을 기억하세요.절대 믿지 마세요.
알려진 취약점이 있는 구성 요소 사용에 대한 추가 정보
자세한 내용을 보려면 OWASP의 내용을 살펴보십시오. 안전하지 않은 역직렬화에 대해.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 쇼케이스 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
