deserialization-testing

反序列化漏洞测试的专业技能和方法论

1. Zainstaluj skill w swoim środowisku agenta Claude/Copilot, wskazując repozytorium https://github.com/Ed1s0nZ/CyberStrikeAI/tree/main/skills/deserialization-testing. Skill zawiera kompletną dokumentację testowania luk w deserializacji dla czterech głównych platform.

2. Zidentyfikuj punkty deserializacji w testowanej aplikacji, szukając miejsc, gdzie dane są przetwarzane: wartości Cookie, dane sesji, parametry API, przesyłane pliki, dane w cache'u lub kolejkach wiadomości. Skill opisuje charakterystyczne sygnatury dla każdego formatu (np. AC ED 00 05 w heksadecymalnym dla Java, O:8:"stdClass" dla PHP).

3. W zależności od platformy aplikacji postępuj zgodnie z metodą testowania: dla Java pobierz narzędzie ysoserial i generuj payload'e przy użyciu gadget chains (CommonsCollections1-7, Spring1-2, ROME), dla PHP konstruuj obiekty z magicznymi metodami (__destruct, __wakeup), dla Python wykorzystaj moduł pickle z funkcją reduce, dla .NET testuj BinaryFormatter i DataContractSerializer.

4. Dla Java RCE użyj ysoserial do wygenerowania binarnego payload'u: java -jar ysoserial.jar CommonsCollections1 "komenda", a następnie zakoduj wynik w Base64 do wstrzyknięcia w punkt deserializacji aplikacji.

5. Dla PHP i Python konstruuj proof-of-concept klasy z metodami, które wykonają kod podczas deserializacji – skill zawiera gotowe przykłady klas Test i RCE, które możesz dostosować do celu testowania.

6. Dokumentuj wszystkie znalezione luki, ich lokalizacje w kodzie oraz potencjalny wpływ (RCE, DoS), a następnie zaproponuj środki zaradcze: walidację danych wejściowych, użycie bezpiecznych formatów serializacji lub wyłączenie deserializacji niezaufanych danych.