Insecure Deserialization

Insecure Deserialization คือช่องโหว่ที่เกิดเมื่อ application deserialize ข้อมูลจาก untrusted source โดยไม่ตรวจสอบ ทำให้ attacker สามารถ inject malicious objects ที่นำไปสู่ RCE! เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุดเพราะมักนำไปสู่ Remote Code Execution โดยตรง! หลายภาษาโปรแกรมมี native serialization ที่ vulnerable เช่น Java, PHP, Python และ Ruby!

OWASP Top 10

Insecure Deserialization เคยติด OWASP Top 10 (A8:2017) และยังเป็นช่องโหว่ร้ายแรงใน 2021 Top 10 ภายใต้ Software and Data Integrity Failures!