De objetos à problemas: uma análise sobre a desserialização insegura de objetos na linguagem Java

Abstract

Não é exagero afirmar que o mundo atual é mediado por software. De aplicações financei- ras que movimentam quantias bilionárias diariamente a dispositivos IoT e aparelhos celulares, o software está em toda parte. Devido a isso, falhas de segurança descobertas nos mais variados tipos de software podem afetar milhões de indivíduos diferentes, impactando fortemente suas vidas. Dentre as falhas de segurança existentes, um grupo de vulnerabilidades particularmente críticas são os problemas de desserialização insegura, que por natureza tendem a causar alto impacto, muitas vezes possibilitando eventuais atacantes a executar código arbitrário dentro do contexto do sistema comprometido. Este trabalho tem como objetivo abordar o funciona- mento das vulnerabilidades de desserialização insegura que ocorrem na linguagem Java, com um enfoque particular no contexto de aplicações web. Dessa forma, através de uma análise teórica e prática, este projeto não somente detalha com profundidade conceitos relacionados ao funcionamento do processo de serialização e desserialização de objetos dentro da linguagem, mas também aborda como esta vulnerabilidade tende a ocorrer, incluindo cenários reais onde ela foi identificada ou explorada, bem como boas práticas e medidas preventivas que devem ser tomadas para impedir a ocorrência e exploração desta vulnerabilidade.