RSS トレイル・オブ・ビッツ ブログ
フォロー
Goのパーサーにおける予期せぬセキュリティの足銃
Go 言語のファイルパーサーには、深刻なセキュリティーの脆弱性につながる予期せぬ動作が含まれています。このポストでは、JSON、XML、および YAML パーサーがエッジケースをどのようにハンドリングしているかを調査し、生産システムでの高インパクトのセキュリティー問題を繰り返し引き起こす原因を探ります。我々は、三つの実際の攻撃シナリオを探索します。予期せぬデータのマーシャリング/アンマーシャリング、パーサーの差異の悪用、およびデータ形式の混乱の悪用を通じて、攻撃者が認証をバイパスし、権限制御を回避し、機密データを流出させる方法を例を通じて示します。
