La désérialisation est une faille dévastatrice car elle permet le pire impact sur vos applications. En clair : l’attaquant fait ce qu’il veut.

Nous verrons comment une mauvaise gestion des cookie va permettre à un attaquant de prendre un contrôle total d’une application django.

Vous pourrez rejouer les exemples avec docker, le code est ici : https://github.com/NeuronAddict/django-demo-unserial

Pour l’installation, il y a des explications dans le README et les chapitres à 12:17 et 14:12 en parlent.

Si vous ne connaissez pas django, je vous conseille ce tutoriel : https://docs.djangoproject.com/en/5.1/intro/tutorial01/

Chapitres:

00:30 Sérialisation / désérialisation : le principe
08:03 Pourquoi c’est dangereux ?
12:17 Installation des exemples avec docker-compose
14:12 Installation avec le code
16:32 Exemple d’attaque avec python
23:21 Remédiation par signature
29:12 Remédiation sécurisée
33:36 A venir dans la suite de cette série

Si vous avez des soucis pour rejouer les exemples, n’hésitez pas à le dire dans les commentaires