Deserialización insegura en C # (.NET) - Cómo identificar y probar

1

He estado leyendo sobre Deserialización insegura y cómo puede afectar a las aplicaciones Java.

enlace

Si los datos de tráfico capturados incluyen los siguientes patrones, puede sugerir que los datos se enviaron en secuencias de serialización de Java:

"AC ED 00 05" in Hex
"rO0" in Base64
Content-type = 'application/x-java-serialized-object'

Extensión Burp para realizar ataques de deserialización de Java:

enlace

enlace

enlace

Mi pregunta es si existe un patrón similar para .NET? ¿Hay herramientas para probar exploits para esto?

El siguiente artículo menciona un JSON deserialization flaw in Breeze , JSON deserialization flaw in NancyFX y XML deserialization flaw in DotNetNuke ,

enlace

He estado leyendo acerca de la inyección de entidad externa XML (XXE) para bibliotecas del sistema pero nada con deserialización en .NET.

enlace

    
pregunta Ogglas 11.07.2018 - 17:05
fuente

0 respuestas

Lea otras preguntas en las etiquetas