He estado leyendo sobre Deserialización insegura y cómo puede afectar a las aplicaciones Java.
Si los datos de tráfico capturados incluyen los siguientes patrones, puede sugerir que los datos se enviaron en secuencias de serialización de Java:
"AC ED 00 05" in Hex
"rO0" in Base64
Content-type = 'application/x-java-serialized-object'
Extensión Burp para realizar ataques de deserialización de Java:
Mi pregunta es si existe un patrón similar para .NET? ¿Hay herramientas para probar exploits para esto?
El siguiente artículo menciona un JSON deserialization flaw in Breeze
, JSON deserialization flaw in NancyFX
y XML deserialization flaw in DotNetNuke
,
He estado leyendo acerca de la inyección de entidad externa XML (XXE) para bibliotecas del sistema pero nada con deserialización en .NET.