🧩 Хакер-челлендж

Сценарий: веб-сервис принимает бинарный объект (pickle/unsafe JSON), десериализует и сразу вызывает метод process() у полученного объекта. Пользователь может загрузить произвольный байтстрим.

❓ Что наиболее правдоподобно может произойти, если загрузить специально-сформированный объект? Голосуйте эмодзи:

🔥 — RCE: выполнить произвольный код на сервере (pickle позволяет инвокировать конструкторы/функции).

👾 — Эскалация привилегий: объект вызовет внутренний метод, открывающий админ-функции.

❤️ — DoS: CV-памяти/CPU через рекурсивные/тяжёлые объекты.

👍 — Утечка данных: объект инициирует исходящие запросы (exfiltration) и вернёт конфиденциальные данные.

🐸 Библиотека хакера

#ctf_challenge

👨‍💻 Разбор — «Опасная десериализация»

Раннее мы выкладывали задачу 🦾

Сервис десериализует входной байтстрим (pickle/unsafe JSON) и сразу вызывает obj.process(). Если вход ненадёжный — можно выполнить произвольный код на сервере.

🅰️ Почему опасно: десериализация восстанавливает объекты и может запускать их конструкторы или методы без проверки. Это открывает путь к RCE, утечке данных или DoS.

🅰️ Хотфикс: запретить бинарную десериализацию из внешних источников.

❇️ Долгосрочно: перейти на безопасный формат (JSON со схемой) или изолировать выполнение.

❇️ Главная угроза — RCE.

🐸 Библиотека хакера

#ctf_challenge