CWE-502

Deserialization of Untrusted Data

AI Translation Available

The product deserializes untrusted data without sufficiently ensuring that the resulting data will be valid.

Status

draft

Abstraction

base

Likelihood

medium

Affected Platforms

Java Ruby PHP Python JavaScript ICS/OT

Technical Details

AI Translation

Common Consequences

integrity availability other

Impacts

modify application data unexpected state dos: resource consumption (cpu) varies by context

Detection Methods

automated static analysis

Potential Mitigations

Phases:

architecture and design implementation operation

Descriptions:

• If available, use the signing/sealing features of the programming language to assure that deserialized data has not been tainted. For example, a hash-based message authentication code (HMAC) could be used to ensure that data has not been modified.

• Explicitly define a final object() to prevent deserialization.

• When deserializing data, populate a new object rather than just deserializing. The result is that the data flows through safe input validation and that the functions are safe.

• Make fields transient to protect them from deserialization. An attempt to serialize and then deserialize a class containing transient fields will result in NULLs where the transient data should be. This is an excellent way to prevent time, environment-based, or sensitive variables from being carried over and used improperly.

• Employ cryptography of the data or code for protection. However, it's important to note that it would still be client-side security. This is risky because if the client is compromised then the security implemented on the client (the cryptography) can be bypassed.

• Avoid having unnecessary types or gadgets (a sequence of instances and method invocations that can self-execute during the deserialization process, often found in libraries) available that can be leveraged for malicious ends. This limits the potential for unintended or unauthorized types and gadgets to be leveraged by the attacker. Add only acceptable classes to an allowlist. Note: new gadgets are constantly being discovered, so this alone is not a sufficient mitigation.

• Use an application firewall that can detect attacks against this weakness. It can be beneficial in cases in which the code cannot be fixed (because it is controlled by a third party), as an emergency prevention measure while more comprehensive software assurance measures are applied, or to provide defense in depth [REF-1481].

AI Generated Translation

Common Consequences

integrità disponibilità altro

Impacts

modificare dati applicazione stato inaspettato dos: consumo di risorse (cpu) varia dal contesto

Detection Methods

analisi statica automatizzata

Potential Mitigations

Phases:

architettura e design implementazione operazione

Descriptions:

• Se disponibile, utilizza le funzionalità di firma/sealing del linguaggio di programmazione per garantire che i dati deserializzati non siano stati manomessi. Ad esempio, si potrebbe usare un codice di autenticazione del messaggio basato su hash (HMAC) per assicurarsi che i dati non siano stati modificati.

• Definisci esplicitamente un oggetto final() per prevenire la deserializzazione.

• Quando si deserializzano i dati, popolare un nuovo oggetto anziché limitarsi a deserializzare. Il risultato è che i dati passano attraverso una validazione di input sicura e che le funzioni sono sicure.

• Rendi i campi transitori per proteggerli dalla deserializzazione. Un tentativo di serializzare e successivamente deserializzare una classe contenente campi transitori si tradurrà in NULL nei punti in cui dovrebbero trovarsi i dati transitori. Questo è un metodo efficace per impedire che variabili temporali, ambientali o sensibili vengano trasportate e utilizzate in modo improprio.

• Utilizzare la crittografia dei dati o del codice per la protezione. Tuttavia, è importante notare che si tratta comunque di una sicurezza lato client. Questo è rischioso perché, se il client viene compromesso, la sicurezza implementata sul client (la crittografia) può essere aggirata.

• Evita di avere a disposizione tipi o gadget non necessari (una sequenza di istanze e invocazioni di metodi che può auto-eseguirsi durante il processo di deserializzazione, spesso presenti nelle librerie) che possono essere sfruttati per scopi dannosi. Ciò limita il potenziale di utilizzo di tipi e gadget non intenzionati o non autorizzati da parte dell'attaccante. Aggiungi solo le classi accettabili a una whitelist. Nota: nuovi gadget vengono costantemente scoperti, quindi questa misura da sola non è una mitigazione sufficiente.

• Utilizzare un firewall applicativo in grado di rilevare attacchi contro questa vulnerabilità. Può essere utile nei casi in cui il codice non possa essere corretto (perché controllato da una terza parte), come misura di prevenzione d'emergenza mentre vengono adottate misure di garanzia del software più complete, o per fornire una difesa in profondità [REF-1481].

CWE-502

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter