Ho letto sulla deserializzazione non sicura e su come può influenzare le applicazioni Java.
Se i dati sul traffico acquisiti includono i seguenti schemi, potrebbe suggerire che i dati sono stati inviati nei flussi di serializzazione Java:
"AC ED 00 05" in Hex
"rO0" in Base64
Content-type = 'application/x-java-serialized-object'
Estensione Burp per eseguire attacchi di deserializzazione Java:
La mia domanda è se esiste un modello simile per .NET? Esistono strumenti per testare gli exploit per questo?
L'articolo di seguito menziona un JSON deserialization flaw in Breeze
, JSON deserialization flaw in NancyFX
e XML deserialization flaw in DotNetNuke
,
Ho letto l'iniezione XML External Entity (XXE) per le librerie di sistema ma nulla con la deserializzazione in .NET.