私が運用しているハニーポットで「安全でないデシリアライゼーション (Insecure Deserialization)」を狙った攻撃を確認しました。 「安全でないデシリアライゼーション」はCTFでは頻繁に出題されますが、ハニーポットで観測するのは比較的珍しく、それもPHPではなくJavaのシリアライズオブジェクトを使用した攻撃は更に珍しいため、ここで紹介します。 安全でないデシリアライゼーション(Insecure Deserialization)とは 攻撃データ ysoserialとは 何が実行されるのか まとめ おまけ 安全でないデシリアライゼーション(Insecure Deserialization)とは 2017年版のOWASP Top10にもランクインしているWebアプリケーションのリスクです。 詳しい説明は以下の資料、サイトを参照ください。 OWASP Top 10 - 2017