계: Input Validation and Representation
입력 검증 및 표현 문제는 메타 문자, 대체 인코딩 및 숫자 표현 때문에 발생합니다. 보안 문제는 입력을 신뢰하기 때문에 발생합니다. 문제로는 "Buffer Overflows", "Cross-Site Scripting" 공격, "SQL Injection", 그 외 여러 가지가 있습니다.
Dynamic Code Evaluation: Unsafe TensorFlow Deserialization
Abstract
TensorFlow에서 안전하지 않은 역직렬화를 허용하면 Lambda를 통한 임의 코드 실행이 가능하므로, 응용 프로그램에 심각한 보안 위험을 초래합니다.
Explanation
TensorFlow를 사용할 때,
예제 1: 다음 Python 코드는 직렬화된 데이터가 안전하지 않을 경우 안전하지 않은 역직렬화가 어떻게 악용될 수 있는지를 보여줍니다.
이 예제는 데이터 소스가 완전히 안전한지 확인하지 않고 활성화_unsafe_deserialization()을 사용할 때의 잠재적인 위험을 보여줍니다.
enable_unsafe_deserialization()은 공격자가 Lambda 또는 기타 Python 호출 가능 개체를 역직렬화할 수 있도록 합니다. 이 기능은 유연성과 복잡한 모델의 복원에는 유용하지만 직렬화된 데이터가 취약해질 수 있습니다.예제 1: 다음 Python 코드는 직렬화된 데이터가 안전하지 않을 경우 안전하지 않은 역직렬화가 어떻게 악용될 수 있는지를 보여줍니다.
import tensorflow as tf
tf.keras.config.enable_unsafe_deserialization()
model = tf.keras.models.load_model('evilmodel_tf.keras')
model([])
이 예제는 데이터 소스가 완전히 안전한지 확인하지 않고 활성화_unsafe_deserialization()을 사용할 때의 잠재적인 위험을 보여줍니다.
desc.structural.python.dynamic_code_evaluation_unsafe_tensorflow_deserialization