C# (.NET)中的不安全反序列化--如何识别和测试

Question

我一直在阅读不安全的反序列化以及它如何影响Java应用程序。

https://owasp.org/index.php/Top_10-2017年_A8-不安全_反序列化

如果捕获的流量数据包括以下模式，则可能会建议数据是在Java序列化流中发送的：

"AC ED 00 05" in Hex
"rO0" in Base64
Content-type = 'application/x-java-serialized-object'

执行Java反序列化攻击的Burp扩展：

https://github.com/NetSPI/JavaSerialKiller

https://owasp.org/index.php/Deserialization_的_不可信_数据

https://owasp.org/index.php/Deserialization_作弊_Sheet#Java

我的问题是，对于.NET是否存在类似的模式？有什么工具可以用来测试这些漏洞吗？

下面的文章提到了JSON deserialization flaw in Breeze、JSON deserialization flaw in NancyFX和XML deserialization flaw in DotNetNuke，

https://www.bleepingcomputer.com/news/security/severe-deserialization-issues-also-affect-net-not-just-java/

我一直在阅读用于系统库的XML (XXE)注入，但没有在.NET中使用反序列化。

https://owasp.org/index.php/XML_外部_实体_(XXE)_预防_作弊_Sheet#.NET

Answer 1

不安全反序列化不是Java特有的缺陷，所有语言都存在这种漏洞。请看一下2017年的黑帽会议：13日星期五: JSON袭击，它的重点是.Net JSON序列化器。

您可以找到一个有用的工具来测试在有心材料中的开发。

关于XXE，它与序列化无关，这两个漏洞在最新的OWASP的前十名中显然是分开的。