Insecure Deserialization: Object Injection ve RCE

Insecure deserialization, untrusted data deserialization sırasında oluşan güvenlik açığıdır ve remote code execution'a yol açabilir. PHP object injection, unserialize() fonksiyonunun malicious serialized object parse etmesiyle oluşur; __wakeup(), __destruct() magic method'ları trigger edilir ve gadget chain exploitation yapılır. Java deserialization, ObjectInputStream.readObject() ile malicious object deserialize edilir ve CommonsCollections gadget chain ile RCE sağlanır; ysoserial aracı exploit generation için kullanılır. Python pickle deserialization, pickle.loads() ile malicious payload çalıştırılır ve __reduce__ method'u arbitrary code execution sağlar. .NET deserialization, ObjectStateFormatter ve LosFormatter ile TypeConfuseDelegate gadget chain kullanılarak RCE gerçekleştirilir; ysoserial.net aracı .NET exploit'leri için kullanılır. Gadget chain analysis, application classpath'indeki exploitable class'ları ve method chain'lerini analiz eder; CodeQL ve GadgetInspector otomatik analysis araçlarıdır. Serialization filter ve ObjectInputFilter, deserialization'ı whitelist-based class validation ile kısıtlar ve mitigation sağlar.