先日のブログ記事にて、Welcartのオブジェクトインジェクション脆弱性について説明しましたが、オブジェクトインジェクションという脆弱性自体の情報源があまりないので、入門記事を書こうと思い立ちました。 (2017/11/22追記) OWASP Top 10 2017に正式に公開され、そのA7に安全でないデシリアライゼーション (Insecure Deserialization) が入りました。これは、本稿で扱うオブジェクトインジェクションと同内容ですが、OWASPの表記にならい、タイトルを変更しました。 以下、「そんなプログラムあり得るか?」という現実性についてはあまり気にしないで、原理的にオブジェクトインジェクションがどのようなものかについて順を追って説明していきます。以下、PHP言語のケースを題材として具体例を提示しますが、概念自体は他の言語でも通用するものです。 シリアライズとオブジ
![安全でないデシリアライゼーション(Insecure Deserialization)入門 | 徳丸浩の日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/71fed260015ae5f7680335354194087550459dd0/height=288;version=1;width=512/https%3A%2F%2F4.bp.blogspot.com%2F-KzNq5qxGalg%2FWcheFpnJJdI%2FAAAAAAAAPU0%2FCneAKnSCOOozfzLEMzABeFTxShh_c3bpACLcBGAs%2Fw1200-h630-p-k-no-nu%2Fserialize.png)