[CHALLENGE] Désérialisation java

Bonjour,

 

Qu’est-ce que la désérialisation ?

En informatique, la sérialisation (de l’anglais américain serialization) est un processus visant à coder l’état d’une information qui est en mémoire sous la forme d’une suite d’informations plus petites (dites atomiques, voir l’étymologie de atome) le plus souvent des octets voire des bits. Cette suite pourra par exemple être utilisée pour la sauvegarde (persistance) ou le transport sur le réseau (proxy, RPC…). L’activité symétrique, visant à décoder cette suite pour créer une copie conforme de l’information d’origine, s’appelle la désérialisation (ou unmarshalling). (merci wikipedia)

 

Plus d’informations ici : https://openclassrooms.com/courses/la-programmation-reseau-en-net/la-serialisation-des-objets

 

Il existe de très nombreuses vulnérabilités liées à la désérialisation. En particulier sous Java, dont la technologie est utilisée par de nombreux serveurs. La dernière vulnérabilité connue en date : apache-commons. Des milliers d’applications exposées sur Internet ont été touchées :

 

Ce petit challenge vise à apprendre à exploiter ce type de vulnérabilités :

 

Happy hacking 🙂

Hits: 48