检测

Python 对象反序列化

critical Web App Scanning 插件 ID 113229

语言:

简介

Python 对象反序列化

描述

序列化是将对象转换为字节流,以便通过网络存储或发送的过程。相反,反序列化是从此字节流重新构建对象的过程。

当 Python Web 应用程序使用 `pickle` 库执行用户提供的数据反序列化时,攻击者可以注入自定义序列化的 Python 对象,以在系统上实现远程代码执行或造成拒绝服务攻击 (DoS)。

解决方案

应用程序切勿对不受信任的数据进行反序列化。必要时,应执行代码审查以防止对任意类进行反序列化并强化整个进程。

另见

https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

https://davidhamann.de/2020/04/05/exploiting-python-pickle/

https://intoli.com/blog/dangerous-pickles/

https://resources.infosecinstitute.com/10-steps-avoid-insecure-deserialization/#gref

https://www.owasp.org/index.php/Deserialization_of_untrusted_data

插件详情

严重性: Critical

ID: 113229

类型: remote

发布时间: 2022/5/18

最近更新时间: 2022/5/18

扫描模板: api, pci, scan

风险信息

VPR

风险因素: High

分数: 8.5

CVSS v2

风险因素: High

基本分数: 7.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 分数来源: Tenable

CVSS v3

风险因素: Critical

基本分数: 9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 分数来源: Tenable

CVSS v4

风险因素: Critical

Base Score: 9.2

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS 分数来源: Tenable

参考资料信息