TOP8不安全的反序列化 (Insecure Deserialization)
注意:OWASP Top 10指出,此安全风险是由行业调查添加的,并非基于可量化的数据研究。
每个Web开发人员都需要使攻击者/安全研究人员尝试使用与应用程序交互的所有内容(从URL到序列化对象)的事实,使和平。
在计算机科学中,对象是数据结构。换句话说,一种构造数据的方式。为了更容易理解一些关键概念:
- 序列化的过程是将对象转换为字节字符串。
- 反序列化的过程是将字节字符串转换为对象。
示例
1)我们创建了User Java类,如下所示
2)我们将User(username = test,password = test)对象写入user.txt
3)我们将user.txt读取为字节流,然后通过转换为用户类将其反序列化。
程序尝试在不进行任何验证的情况下对数据进行