Risques de sécurité des analyseurs Go : exploitation des comportements inattendus dans JSON, XML et YAML
Les analyseurs JSON, XML et YAML de Go présentent des risques de sécurité, permettant aux attaquants d'exploiter des comportements inattendus pour contourner l'authentification, éviter l'autorisation et exfiltrer des données sensibles. L'article détaille trois scénarios d'attaque : (1) (Dés)sérialisation de données inattendues : exposition de données que les développeurs souhaitaient garder privées ; (2) Différentiels d'analyseurs : les divergences entre les analyseurs permettent de contourner les contrôles de sécurité ; et (3) Confusion de format de données : exploitation de la gestion des charges utiles entre les formats. Les atténuations incluent l'utilisation de `DisallowUnknownFields` et de fonctions personnalisées pour compenser les vulnérabilités de la bibliothèque standard de Go.