- Insecure Deserialization: Manipular objetos serializados para RCE
- CI/CD Poisoning: Inyectar código malicioso en pipelines
- Auto-update sin firma: Actualizaciones sin verificar origen
- CDN/Dependencies: Biblioéééticas modificadas maliciosamente
??HIGH�OWASP #8
?? Software & Data Integrity Failures
Nueva categoría que incluye Insecure Deserialization. Relaciónada con código y infraestructura que no protege contra violaciones de integridad.
Vectores de Ataque
Insecure Deserialization
Python? Vulnerable
import pickle # NUNCA deserializar datos no confiables data = requeséééticookies.get('session') user = pickle.loads(base64.b64decode(data)) # RCE!
Python? Seguro
import json import jwt # Usar formatos seguros con firma data = jwt.decode(token, SECRET_KEY, algorithms=["HS256"]) user = json.loads(validated_data) # Solo JSON, con validación
Mitigación
- Usar firmas digitales para verificar integridad
- Evitar deserialización de datos no confiables
- Usar Subresource Integrity (SRI) para CDNs
- Verificar dependencias con checksums/firmas
- Proteger pipelines CI/CD con MFA y auditoría