Аннотация:В работе проводится исследование встречаемости случаев использования небезопасной десериализации при взаимодействии между клиентским JavaScript–кодом и серверной стороной веб–приложения. Были выделены характерные особенности шаблонов использования сериализованных объектов
внутри клиентского JavaScript–кода и составлены уникальные классы.
Был разработан инструмент, определяющий контекст, в котором находится сериализованный объект на странице. Для объектов, находящихся
внутри JavaScript – кода, инструмент выявляет вышеупомянутые классы при помощи сопоставления вершин абстрактного синтаксического дерева (AST)
кода.
После получения результатов исследования был проведен анализ серверных точек ввода данных на предмет десериализации найденных программных объектов на стороне сервера.