A menudo, la deserialización insegura causa problemas de ejecución remota de código.
Incluso si la vulnerabilidad en la fase de deserialización no permitiera la ejecución remota de código, podría ser utilizada para realizar ataques de repetición (Replay Attacks), inyección (Injection) y escalada de privilegios (Privilege Escalation).
| OWASP Top 10 Riesgos de Seguridad en Aplicaciones - 2017 | Referencia |
|---|---|
| A8:2017-Deserialización Insegura | OWASP |
La mayoría de las veces que se recurre a la serialización, en realidad se busca una forma sencilla e inmediata de guardar, recargar o transmitir estructuras de datos que pueden ser representadas de manera más simple y menos peligrosa.
El secreto de la seguridad de las aplicaciones es disponer de interfaces definidas para tratar los datos, la deserialización no entra en esta práctica.Francesco Ongaro
