【翻訳】OWASP TOP 10 2017 RC2を翻訳してみた＃２ A8:2017 Insecure Deserialization【してみた】

suzuki

OWASP TOP10 2017 RC2を翻訳してみた　＃２ A8:2017 Insecure Deserialization

先日公開された、OWASP TOP10 2017 RC2の新規追加事項を中心に自分用にメモしたので公開してみた。

なお、既に正式なOWASP TOP 10 2017がリリースされています。

OWASP TOP 10 2017の内容はOWASPが公開している資料をご確認ください。

本記事はOWASP TOP 10 2017 RC2の翻訳（自己流）の記事です。
~~筆者が拙い英語力で無理やり訳したので~~間違いを含んだり、公式訳とは異なっている可能性があります。

本記事の内容を利用／転載して発生して発生したいかなる問題に対しても責任は負いかねます。

では、張り切って翻訳してみよう。

なお、本翻訳はOWASP TOP 10 2017 RC2のPDFファイルの8枚目（ページ番号7）の内容を基に翻訳しています。

そもそもOWASP TOP 10てなーに？と言う方はこちら
 同じRC2のXML External EntityXXEの翻訳記事はこちら
 同じRC2のInsufficient Logint & Monitoringの翻訳記事はこちら

A8:2017 Insecure Deserialization

原文

原文（OWASP TOP 10 2017 RC2のPDFより引用）

“Insecure deserialization flaws occur when an application receives hostile serialized objects. Insecure deserialization leads to remote code execution. Even if deserialization flaws do not result in remote code execution, serialized objects can be replayed, tampered or deleted to spoof users, conduct injection attacks, and elevate privileges. ”

Google先生による翻訳

A4同様、とりあえずGoogle翻訳にかけてみると↓こんな感じ↓になった。

『アプリケーションが敵対的なシリアライズされたオブジェクトを受け取ると、安全でない逆シリアル化の欠陥が発生します。安全でないデシリアライゼーションにより、リモートでコードが実行されます。たとえデシリアライゼーションの欠陥が発生しなくてもリモートコード実行では、シリアル化されたオブジェクトを再生したり、改ざんしたり、削除してユーザーを偽装したり、注入攻撃を行い、権限を昇格させます。』

・・・Google先生、さっきよりさらにはましな気もするけど、やっぱり若干訳がおかしいです。。。

本記事の筆者が訳してみた

こちらも先ほど同様、上記のGoogle翻訳を基に、「,」が関わりそうな部分を中心に筆者が訳しなおしてみた。
その結果が↓こちら↓

『アプリケーションが悪意のあるシリアライズされたオブジェクトを受け取ると、安全でないでシリアライズの欠陥が発生します。安全でないデシリアライゼーションにより、リモートでコードが実行されます。リモートコードが実行されなくても、シリアル化されたオブジェクトの置き換えや改竄、または削除によって、ユーザの偽装や注入攻撃を行ったり、特権を昇格させたりすることができます。』

・・・若干それっぽくなった、かな？

※冒頭でも書きましたが、本記事はOWASP TOP 10 2017 RC2の自己流の翻訳です。正式版のOWASP TOP 10 2017の翻訳ではありません。
本記事の内容を利用／転載して発生して発生したいかなる問題に対しても責任は負いかねます。

さて、次はOWASP TOP 10 2017 RC2の新規項目最後の1つ、A10:2017 Insufficient Logging & Monitoringを訳してみよう。

そもそもOWASP TOP 10てなーに？と言う方はこちら
 同じRC2のXML External EntityXXEの翻訳記事はこちら
 同じRC2のInsufficient Logint & Monitoringの翻訳記事はこちら