JEP 290 Policies

Unsichere Deserialisierung stellt momentan ein Haupteinfallstor zur Kompromittierung von Java-Applikationen dar. Mit der Implementierung von JEP 290 bietet Java die Möglichkeit, serialisierte Daten vor der eigentlichen Deserialisierung zu filtern. Diese Möglichkeit wird jedoch nur von wenigen Entwicklern aktiv verwendet.

Dieser Vortrag illustriert die Problematik von Java-Deserialisierung zunächst an einem praktischen Beispiel und bietet im Anschluss eine Übersicht über die von Java bereitgestellten Filtermöglichkeiten. Zudem werden Hinweise auf potenzielle Fallstricke gegeben, die bei der Erstellung einer solchen Filterpolicy auftreten können.

Vorkenntnisse

Die Besucher sollten über Grundkenntnisse in den Bereichen Java und Datenserialisierung verfügen.

Lernziele

Teilnehmer sollten nach dem Vortrag Beischeid wissen über die Filtermöglichkeiten, die von Java zur Absicherung gegen entsprechende Angriffe bereitgestellt werden.

 

Speaker

 

Hans-Martin Münch
Hans-Martin Münch ist Geschäftsführer der MOGWAI LABS GmbH, einem auf die Durchführung von technischen Security Audits und Penetrationstests spezialisierten Unternehmen. Er beschäftigt sich seit mehreren Jahren aktiv mit dem Thema "Offensive Java" und hat hierzu unter anderem mehrere Blogeinträge unter https://mogwailabs.de/blog sowie diverse Tools veröffentlicht.

Gold-Sponsoren

RIGS IT
SearchGuard
WIBU Systems

Silber-Sponsoren

COTECH
RIPS Technologies

Bronze-Sponsor

heidelpay

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden