Ende letzten Jahres war (Spoiler: eigentlich zu Unrecht) die populäre Apache-Common-Collections-Bibliothek in den Schlagzeilen. Manche Magazine titelten sogar reißerisch, dass im Vergleich dazu die Heartbleed getaufte ssh-Sicherheitslücke zahm aussehen würde. Was war da genau passiert? Hinter den Schlagzeilen steckt ein breiteres Feld von Sicherheitsproblemen, nämlich das Deserialisieren von Daten mit verschiedenen Serialisierungs-Bibliotheken.
Dieser Vortrag möchte den Vorfall Schritt für Schritt untersuchen und dabei aufzeigen, dass das Problem weder auf diese eine Bibliothek noch auf Java (respektive die Java-VM) beschränkt ist.
Vorkenntnisse
Grundlagen http (in den Demos werden http-Requests abgefangen und verändert).
Die meisten Beispiele stammen aus der Java-Welt.
Lernziele
Verständnis für die Funktion von Serialisierungs-Frameworks als Sicherheitssicht.
Verdeutlichen des Unterschieds zwischen strukturierten Daten und Objektserialisierung.
Hinweise, an welchen Stellen (in der Java-Welt) Objektserialisierung verwendet wird.
Hinweise für die Vermeidung der demonstrierten Probleme.
@_skyrArmin Bauer ist Senior Consultant bei der Firma BeOne Stuttgart GmbH und arbeitet dort als Entwickler, Architekt und Trainer im Java-Umfeld. Skalierbare Architekturen und Datenstrukturen sowie das breite Feld verschiedener Webtechnologien gehören zu seinen Schwerpunkten. Daher kennt er sich mit aktuellen IT-Security Themen gut aus. Er ist in einigen Open Source Projekten aktiv und begeistert sich für alles rund um Technik.