概念证明开辟了新的安全研究途径

道德黑客通过证明Ruby编程语言中的挑选性漏洞可以创建远程代码执行(RCE)漏洞,从而打开了安全研究的新领域。

序列化*涉及将编程对象转换为可以存储在文件系统或数据库中的一系列字节。这些字节包括通过称为避难所化的过程重建原始对象所需的数据和元数据。

在定义的边界之外进行的次要化是一类已知的安全漏洞。以前在PHP,.NET和Java中证明了这种类型的缺陷。

该领域的问题远非学术。例如,不安全的挑战在第八位OWASP 2017年最关键的10个最关键的Web应用beplay体育能用吗程序安全风险(最新的可用版)。

澳大利亚公司Elttam的安全研究人员已经表明,Ruby中的用户输入如何(以前被认为是风险)提供了一种将恶意代码推向脆弱系统的方法。

更具体地说,他们证明了如何将小工具链用作一种技术来利用对象进行序列化漏洞到概念验证的RCE攻击中。

Elttam的Luke Jahnke解释了如何在使用小工具链实现Ruby 2.x的任意命令执行之前,如何实现Ruby编程语言的任意应力化。博客文章

许多编程框架受避难所的影响,但Java面临最大的挑战在这个区域,促使Oracle到降低供应支持从Java语言的标准包中,作为长期目标,也是琥珀色项目


*Ruby使用“编组”和“删除”术语来指代序列化和挑选化