Spesso la deserializzazione non sicura causa problematiche di esecuzione remota del codice.
Anche se la vulnerabilità in fase di deserializzazione non permettesse l’esecuzione remota di codice, potrebbe comunque venire utilizzata per effettuare attacchi di re-inoltro (Replay Attacks), iniezione (Injection) e aumento dei privilegi (Privilege Escalation).
| OWASP Top 10 Application Security Risks - 2017 | Riferimento |
|---|---|
| A8:2017-Insecure Deserialization | OWASP |
La maggior parte delle volte che si ricorre alla serializzazione in realtà si cerca un modo semplice ed immediato per salvare, ricaricare o trasmettere delle strutture dati che possono essere rappresentate in maniera più semplice e meno pericolosa.
Il segreto della sicurezza applicativa è disporre di interfacce definite nel trattare il dato, la deserializzazione non rientra in questa pratica.Francesco Ongaro
