Xu hướng tấn công website mới – Tấn công Deserialization

Nhóm nghiên cứu của CyStack đã liên tục giám sát các cuộc tấn công website qua lỗ hổng mới, bằng cách đó chúng tôi nhận thấy có ít nhất 4 lỗ hổng quan trọng đã được phát hiện trong năm qua. Phân tích cho thấy, trong năm vừa qua, số lượng các cuộc tấn công website chuyển đổi cấu trúc dữ liệu (tấn công Deserialization) đã tăng lên đến 300%, biến chúng thành một nguy cơ bảo mật nghiêm trọng đối với các ứng dụng web – đặc biệt trong làn sóng đào tiền ảo bất hợp pháp.

Mọi thứ càng trở nên tồi tệ hơn khi 

 với mục đích cài đặt phần mềm độc hại  trên các máy chủ web dễ bị tấn công, làm CPU hoạt động quá tải. Bài viết này sẽ giải thích những lỗ hổng chuyển đổi cấu trúc dữ liệu không an toàn là gì, cho thấy xu hướng ngày càng tăng của các cuộc tấn công khai thác những lỗ hổng này và kẻ tấn công làm gì để khai thác chúng (bao gồm cả các ví dụ tấn công thực tế).

“Serialization” là gì?

Đây là quá trình tuần tự chuyển đổi một đối tượng (Object). Ví dụ như một đối tượng Java (Java object), thành một định dạng có thể được gửi qua mạng, hoặc được lưu trữ trong bộ nhớ hoặc cơ sở dữ liệu. Mục đích của Serialization là để bảo vệ một đối tượng, có nghĩa là đối tượng sẽ tồn tại bên ngoài chương trình nơi mà nó được tạo ra.

Như vậy, bằng việc tìm hiểu cơ chế của Serialization, ta có thể suy ra cơ chế làm việc của Deserialization như sau: Deserialization (chuyển đổi cấu trúc dữ liệu ảo) là quá trình sẽ giúp chuyển đổi định dạng dãy byte liên tục trở lại thành một đối tượng “sống”.