Object Injection
オブジェクト挿入
引用元:
説明:
シリアル化されたオブジェクトの処理中に、悪意のあるコンテンツを挿入することによってアプリケーションを不正利用しようとする攻撃。
開発者は、ディスクに保存したりネットワークを介して転送したりするために、データや状態を静的なバイナリ形式に変換するためにシリアル化を利用する。これらのオブジェクトは、データ/状態を回復するために必要なときに逆シリアル化される。不正なオブジェクトを脆弱なアプリケーションに挿入することで、攻撃者は逆シリアル化プロセスを操作してアプリケーションを危険にさらす可能性がある。これにより、リモートでコードが実行されるなど、望ましくない結果が多数発生する可能性がある。
関連する弱点:
CWE-ID | Weakness Name |
---|---|
502 | Deserialization of Untrusted Data |