|
Titre :
|
Désérialisation Java : une brève introduction au ROP de haut niveau (2019)
|
|
Auteurs :
|
Alexandre Bartel, Auteur ;
Jacques Klein, Auteur ;
Yves Le Traon, Auteur
|
|
Type de document :
|
Article : texte imprimé
|
|
Dans :
|
MISC: Multisystem & Internet, Security, Cookbook (N°101, Janvier / Février 2019)
|
|
Article en page(s) :
|
P. 14-19
|
|
Langues:
|
Français
|
|
Sujets :
|
IESN
Désérialisation
;
Exécution de code arbitraire
;
Exploit
;
Java
;
RCE
|
|
Résumé :
|
"Les processus de sérialisation et de désérialisation Java ne manipulent que des données et non du code. Malheureusement, comme pour une châine ROP, il est possible de combiner des "gadgets" Java pour exécuter du code arbitraire lorsque la désérialisation s'effectue sur des données contrôlées par un attaquant. Nous présentons dans cet article une vulnérabilité de désérialisation affectant directement les libraires standards de la machine virtuelle Java." (Extrait de MISC n°101)
|
