7 Repos
Guidelines and patterns for safely handling serialized data to prevent arbitrary code execution.
Distinguishing note: Focuses specifically on deserialization vulnerabilities rather than general input sanitization.
Explore 7 awesome GitHub repositories matching security & cryptography · Deserialization Security. Refine with filters or upvote what's useful.
The OWASP Cheat Sheet Series is a comprehensive, community-driven repository of concise security best practices and defensive coding patterns. It serves as a centralized knowledge base for developers and security professionals, providing actionable guidance to secure applications across the entire software development lifecycle. The project covers a vast array of security domains, ranging from fundamental web application hardening and authentication protocols to specialized controls for modern infrastructure and artificial intelligence systems. What distinguishes this project is its decentral
Validates serialized data before processing to prevent arbitrary code execution.
Deepagents is an LLM agent orchestration platform and stateful application server designed for deploying and managing AI agents built with computational graphs. It provides a containerized runtime environment that handles agent execution, state persistence, and the versioning of AI assistants. The platform distinguishes itself through deep integration with the Model Context Protocol, allowing agents to function as servers that expose tools and capabilities to external clients. It features a sophisticated observability suite for capturing execution traces, performing LLM-based evaluations agai
Defines allow-lists for custom Python modules to securely deserialize checkpoint payloads.
Exploits Ruby Marshal deserialization vulnerabilities by bypassing patches through repeated research.
Pikachu ist eine Plattform für Web-Sicherheitstraining und eine Sandbox für verwundbare Webanwendungen. Sie bietet eine containerisierte Laborumgebung, die für das Üben von Penetrationstests und das Identifizieren häufiger Sicherheitslücken konzipiert ist. Das Projekt dient als OWASP Top 10-Übungslabor und bietet eine Simulationssuite für kritische Risiken. Es enthält spezifische Szenarien zum Üben der Ausnutzung von SQL-Injection, Cross-Site-Scripting, Remote Code Execution und fehlerhafter Zugriffskontrolle. Die Umgebung deckt ein breites Spektrum an Sicherheitstest-Simulationen ab, einschließlich Directory Traversal, Server-Side Request Forgery, unsicherer Datei-Uploads und XML External Entity-Angriffen. Sie verfügt zudem über ein administratives Backend zur Verwaltung von Phishing-Simulationen und zur Überwachung erfasster Session-Payloads. Die gesamte Plattform wird über ein containerisiertes Image bereitgestellt, das automatisch das Datenbankschema initialisiert und die Umgebung mit Seed-Daten füllt.
Includes a simulation for practicing unsafe deserialization and object injection.
Fury ist ein sprachübergreifendes Framework für binäre Serialisierung, das für die Kodierung von Domänenobjekten und komplexen Graphen entwickelt wurde, um den Datenaustausch zwischen verschiedenen Sprachen zu erleichtern. Es enthält einen Compiler für eine Interface Definition Language (IDL), der Schemadefinitionen in idiomatische native Typen und Serialisierungs-Boilerplate über mehrere Sprachen hinweg übersetzt. Das Projekt zeichnet sich durch einen Zero-Copy-Binär-Reader aus, der den Zugriff auf spezifische Felder ermöglicht, ohne das gesamte Objekt zu deserialisieren, sowie durch einen Objekt-Graph-Serializer, der zirkuläre Referenzen und referenzielle Integrität bewahrt. Es enthält zudem einen Datenkonverter, der zeilenbasierte Binärdaten für analytische Workloads in spaltenbasierte Apache-Arrow-Formate transformiert. Das Framework deckt breite Funktionsbereiche ab, einschließlich metadatengesteuerter Schema-Evolution für Vorwärts- und Rückwärtskompatibilität, einen AOT-Kompilierungsprozess zur Eliminierung von Laufzeit-Reflektion und sichere Deserialisierung durch Whitelist-basierte Typvalidierung. Es bietet zudem Integration für hochperformante Remote Procedure Calls via gRPC.
Controls class instantiation during decoding through explicit registration and configurable security policies.
Fory is a cross-language serialization framework and binary data serializer designed to convert complex object graphs into a compact binary format for high-performance data exchange. It includes an IDL-based schema compiler to transform interface definition language files into type-safe native data models and a schema evolution manager to maintain forward and backward compatibility. The project features a zero-copy data access layer that allows reading specific fields from binary rows without deserializing the entire object. It supports dual-mode serialization, enabling a toggle between a por
Protects against unauthorized type instantiation and recursive object attacks through whitelists and depth limiting.
Bearer is a static analysis security testing tool and privacy compliance auditor. It identifies security vulnerabilities, hard-coded secrets, and privacy risks in source code through static analysis and data flow tracing. The tool distinguishes itself by tracking the movement of sensitive data through code to identify leaks and by mapping personal and health-related information flows to generate evidence for privacy impact assessments. It also provides differential scanning for pull requests and uses fingerprint-based suppression to exclude known false positives from reports. The platform co
Finds untrusted user input in deserialization methods that could lead to remote code execution.