http消息中的序列化对象

描述：http消息中的序列化对象

应用程序可以在请求参数中提交序列化对象。此行为可以以各种方式暴露应用程序，包括：

• 用户可以查看对象中包含的任何敏感数据。
• 攻击者可以通过篡改对象的内容并重新序列化来干扰服务器端逻辑。
• 攻击者可以通过控制对象处理时调用的服务器端函数，从而在服务器上导致未经授权的代码执行。

由于应用程序使用串行对象引起的任何代码执行漏洞的实际开发通常需要攻击者可以访问服务器端应用程序的源代码。在许多情况下，这可能会减轻此问题的实际影响。但是，仍然强烈建议修复潜在的漏洞。本机挑选功能中的漏洞通常允许无需源代码访问而实用的利用。

修复：HTTP消息中的序列化对象

避免使用序列化对象引起的漏洞的最佳方法不是在请求参数中传递这些漏洞，也不是以任何其他方式将其暴露于客户端。通常，可以以普通的非序列化形式传输应用程序数据，并使用适用于所有客户端求和数据的相同预防措施处理。如果将序列化对象放在请求参数中被认为是不可避免的，则可以通过将对象的服务器生成的加密签名放置在同一请求中，以防止攻击，并在执行应有化或对其他处理之前对签名进行验证目的。

参考

• beplay体育能用吗网络安全学院：不安全的挑战

脆弱性分类

• CWE-502：不受信任数据的绝对序列化
• CAPEC-586：物体注入

典型的严重程度

高的

类型索引（HEX）

0x00400900

类型索引（十进制）

4196608