|
Titre :
|
Désérialisation Java : une brève introduction (2018)
|
|
Auteurs :
|
Alexandre Bartel, Auteur ;
Jacques Klein, Auteur ;
Yves Le Traon, Auteur
|
|
Type de document :
|
Article : texte imprimé
|
|
Dans :
|
MISC: Multisystem & Internet, Security, Cookbook (N°100, Novembre / décembre 2018)
|
|
Article en page(s) :
|
P. 72-76
|
|
Langues:
|
Français
|
|
Sujets :
|
IESN
Code arbitraire (informatique)
;
Désérialisation
;
Exploit
;
Java
;
RCE
|
|
Résumé :
|
"Certaines librairies Java permettent de transformer un objet en un flux d'octets et vice-versa. Ces processus sont appelés sérialisation et déserialisation, respectivement. Ces processus ne manipulent qu'un flux d'octets qui représente des données et non du code. Nous présentons dans cet article les bases de la sérialisation en Java et nous analysons une méthode présente dans les librairies standards de ma machine virtuelle Java qui ouvre la porte à une vulnérabilité de désérialisation." (Extrait de MISC n°100)
|
