Deserializzazione insicura in C # (.NET) - Come identificare e testare

1

Ho letto sulla deserializzazione non sicura e su come può influenzare le applicazioni Java.

link

Se i dati sul traffico acquisiti includono i seguenti schemi, potrebbe suggerire che i dati sono stati inviati nei flussi di serializzazione Java:

"AC ED 00 05" in Hex
"rO0" in Base64
Content-type = 'application/x-java-serialized-object'

Estensione Burp per eseguire attacchi di deserializzazione Java:

link

link

link

La mia domanda è se esiste un modello simile per .NET? Esistono strumenti per testare gli exploit per questo?

L'articolo di seguito menziona un JSON deserialization flaw in Breeze , JSON deserialization flaw in NancyFX e XML deserialization flaw in DotNetNuke ,

link

Ho letto l'iniezione XML External Entity (XXE) per le librerie di sistema ma nulla con la deserializzazione in .NET.

link

    
posta Ogglas 11.07.2018 - 17:05
fonte

0 risposte

Leggi altre domande sui tag