Почему binary formatter — самая опасная функция в .NET

В статье исследованы риски применения небезопасной десериализации в веб-приложениях на платформе .NET Core. Обнаружена критическая уязвимость, позволяющая злоумышленнику выполнить произвольный код на сервере. Предложены практические рекомендации по замене устаревших компонентов и внедрению безопасных методов кодирования. Результаты исследования помогут разработчикам программного обеспечения устранить распространенные ошибки и повысить уровень защищенности приложений в целом, что, безусловно, представляет собой важный и своевременный вклад в решение актуальных вопросов обеспечения информационной безопасности современных программных решений на базе платформы .NET Core, имеющих широкое распространение в корпоративной среде.

Литература

[1] Барабаш М.А. Распределенные системы. Сериализация. RSDN Magazine, 2012, № 1, с. 43–50. EDN: OXVAUL

[2] Волков М.Р. Идентификация и аутентификация в ASP.NET Core с использованием ASP.NET Core Identity. Развитие науки и технологий в современной России (шифр – ВКРН). II Всерос. науч.-практ. конф.: сб. матер. Москва, Изд-во Академическая среда, 2024, с. 41–56. EDN: AYUBUV

[3] Зыков С.В. Проектирование автоматизированных систем. Москва, Ай Пи Ар Медиа, 2024, 394 с. EDN: DKVCLV

[4] Козлов А.Д., Лебедев В.Н., Мараканов И.Н. Современные технологии обмена данными для распределенных корпоративных информационных систем. Москва, Институт проблем управления им. В.А. Трапезникова РАН, 2016, 191 с. EDN: VWGRLV

[5] Черномордов С.В. Подключение базы данных к Windows Forms. Научные достижения и открытия современной молодежи. Сб. ст. победителей Междунар. науч.-практ. конф. Пенза, Наука и Просвещение (ИП Гуляев Г.Ю.), 2017, ч. 2, с. 144–147. EDN: YGQKTJ

[6] Истомин Д.А. Технология .net Core для разработки веб-приложений. 78-я науч. конф. студентов и аспирантов Белорусского государственного университета: матер. Минск, Белорусский государственный университет, 2021, ч. 3, с. 310–313. EDN: HCYUYT

[7] Кравец В.В., Иванов О.А., Шорин Р.В. Логические уязвимости повышения привилегий в ОС Windows. Теория и практика обеспечения информационной безопасности. Всерос. науч.-теор. конф.: сб. науч. тр. Москва, Московский технический университет связи и информатики, 2021, с. 6–9. EDN: KIKXVU

[8] Кущий Д.Н., Федотенко И.И. Сравнение и примеры использование средств защиты информации в приложениях ASP.NET CORE. Научные тенденции: вопросы точных и технических наук. XXX Междунар. науч. конф.: сб. науч. тр. Санкт-Петербург, Центр Научных Публикаций Международной Объединенной Академии Наук, 2020, с. 9–13. https://doi.org/10.18411/sciencepublic-12-08-2020-03

[9] Barabanov A.V. Method for collecting architecture security-specific information for microservice-based systems. Secure Information Technologies, 2021, pp. 27–31. EDN: CZJFGD

[10] Хандожко Г.В. Аудит безопасности программного кода. Студент: наука, профессия, жизнь. VII Всерос. студ. науч. конф. с междунар. уч.: матер. Омск, Омский государственный университет путей сообщения, 2020, ч. 1, с. 291–296. EDN: SHSLBZ