File:Java Deserialisierung - Johannes Baer.pdf


 * Sicherheitsprobleme bei Java Serialisierung (Johannes Bär) Seit dem die Übertragung von serialisierten Java-Objekten Ende 2015 mehr in den Fokus von Sicherheits-Analysten gerückt ist, werden damit in Zusammenhang stehende Schwachstellen vermehrt öffentlich. Der Vortrag vermittelt, worin die Problematik in Java überhaupt begründet ist und welche Architektureigenschaften diese bedingen. Anschließend wird darauf eingegangen, wie Auditoren und Penetrationstester serialisierte Objekte untersuchen können (kurze Vorstellung einer Toolchain) um auf diesen auch generische Angriffstechniken zu verwenden, die sonst eher im Web-Bereich genutzt werden. Abschließend werden auch Maßnahmen zur Behebung der Problematik besprochen und die damit einhergehenden Schwierigkeiten.


 * Johannes Bär ist seit 2014 als Sicherheitsauditor bei der GAI NetConsult GmbH in Berlin tätig. Zu seinen Hauptaufgaben zählen das Durchführen von Schwachstellen-Assessments und Penetrationstests. Bedingt durch das Aufgabenfeld seines Arbeitgebers beschäftigt sich Johannes Bär auch sehr häufig mit Themen im SCADA-Umfeld.

[OWASP German Chapter Stammtisch Initiative/München: 2016-07]