¿Qué es la deserialización insegura?

| Última modificación: 31 de mayo de 2024 | Tiempo de Lectura: 2 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes qué es la deserialización insegura? Este fallo de ciberseguridad es uno de los más explotados en aplicaciones web, según el ranking de OWASP Top 10. Por eso, deben conocerlo todos los auditores de seguridad y desarrolladores web, que deben estar atentos a esta vulnerabilidad. En este post, hablaremos sobre qué es la deserialización insegura, por qué es tan peligrosa y cómo puedes evitarla en tus aplicaciones.

¿Qué es la deserialización insegura?

Para entender qué es la deserialización insegura, primero es necesario comprender qué quiere decir el verbo serializar en informática.

La serialización es un proceso que permite enviarle información sobre un código a un software. El término se utiliza para referirse a una sintaxis que permite almacenar comandos de programación, con el fin de comunicárselos a un software para que los ejecute. El problema radica en que algunas páginas web interpretan mensajes serializados de forma indiscriminada y esto le abre la puerta a la ejecución de código malicioso dentro de la aplicación.

Este fallo de ciberseguridad tan común se produce cuando, en términos de código, la aplicación tiene activada la función de deserializar las entradas que ingresa un usuario. Esto significa que, por medio de las entradas de texto de la página, un usuario podría enviar un objeto serializado (es decir, un código almacenado) y la aplicación web lo ejecutaría. Esto podría resultar en el robo o la manipulación de datos. De hecho, podría llevar en una ejecución remota de código: una de las instancias más graves de un ciberataque.

¿Cómo protegerse de la deserialización insegura?

Ahora que sabes qué es la deserialization attack insegura, notarás que la solución a este fallo parece tratarse de una simple mejora en la configuración: indicarle a la aplicación que no debe deserializar las entradas de ningún usuario.

Sin embargo, aunque se trata de un proceso simple, no resulta para nada trivial, ya que son muchas las entradas de texto que existen en una aplicación.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

A veces, estos errores se encuentran donde menos lo imaginamos. Por eso, se recomienda adicionalmente realizar ejercicios de pentesting periódicos, en los que se ejecuten este tipo de ataques en un entorno controlado. Así también podrás verificar si hay un funcionamiento seguro de la lógica de la aplicación.

Si el pentester logra una ejecución remota, robar el hash de la contraseña de un usuario, etc., significa que las estructuras de datos de tu sistema estaban un serio peligro.

Ya sabes qué es la deserialización insegura y qué peligros presenta para la seguridad de una página web. Ahora, para continuar con tu formación y especializarte en ciberseguridad, no puedes perderte nuestro Ciberseguridad Full Stack Bootcamp, donde podrás convertirte en un experto en menos de 7 meses. ¿A qué esperas? ¡Inscríbete!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado