Что такое insecure deserialization и как тестировать?

Insecure deserialization — небезопасная десериализация объектов. Атака: подменяем сериализованные объекты (Java serialization, PHP serialize, Pickle) для выполнения произвольного кода или изменения логики. Тестируем: где приложение принимает сериализованные данные (cookies, API параметры, viewstate), пробуем изменить их (изменить user role, добавить команду). Java: ysoserial для генерации payloads. PHP: манипуляция с serialize() строкой. Mitigation: не десериализовывать данные от клиента, использовать JSON вместо нативной сериализации.