Sicherheitsrisiken bei Go-Parsern: Ausnutzung unerwarteter Verhaltensweisen in JSON, XML und YAML
Go's JSON-, XML- und YAML-Parser bergen Sicherheitsrisiken, die es Angreifern ermöglichen, unerwartetes Verhalten auszunutzen, um die Authentifizierung zu umgehen, Autorisierungskontrollen zu unterlaufen und sensible Daten zu exfiltrieren. Der Beitrag beschreibt drei Angriffsszenarien: (1) (De-)Serialisierung unerwarteter Daten: Offenlegung von Daten, die von Entwicklern als privat gedacht waren; (2) Parser-Differenzen: Unterschiede zwischen Parsern ermöglichen das Umgehen von Sicherheitskontrollen; und (3) Datenformat-Verwechslung: Ausnutzung der Verarbeitung von Cross-Format-Payloads. Mitigationsmaßnahmen umfassen die Verwendung von `DisallowUnknownFields` und benutzerdefinierten Funktionen, um Sicherheitslücken in der Go-Standardbibliothek zu schließen.