tags_ Serialization_Attack Deserialization_Attack
Per serializzazione e deserializzazione si intende quella pratica che viene usata per il trasporto di informazioni da una macchina all’altra, per esempio un oggetto Employee (JAVA) che contiene i seguenti campi:
Viene serializzata per il trasporto in questo modo:
<Employee><Name>Rinni</Name><Age>26</Age><City>Nevada</City><EmpID>2201 </EmpID></Employee>Per deserializzazione si intende il processo inverso.
Un attacco a questo meccanismo si effettua modificando il contenuto del messaggio serializzato in modo da ottenere una deserializzazione malevola all’interno della macchina vittima, un esempio potrebbe essere il seguente:
<Employee><Name>Rinni</Name><Age>26</Age><City>Nevada </City><EmpID>2201</EmpID>MALICIOUS PROCEDURE</Employee>