我正在准备MCTS考试70-536并阅读"MCTS自学培训套件考试70 536微软网络框架应用程序开发基础第二版"一书
在第5章 - 序列化中,下面是困扰我的陈述.
您必须在序列化构造函数中执行数据验证,如果提供了无效数据,则抛出SerializationException.风险在于攻击者可以使用您的类,但提供虚假的序列化信息以试图利用弱点.
我理解数据验证但无法理解攻击者如何提供虚假的序列化信息.我想从一个例子(代码或概念)中了解这一点.我搜索了网络,但无法想出任何东西.
如果将数据序列化为文件,则用户可能只是编辑文件以导致程序行为不正确.如果您在线读取或写入某个位置(包括在未经过身份验证的情况下修改传输中的数据),则可以执行类似的操作.讨论的总体主题是无法保证应用程序生成序列化数据; 它可能是由攻击者或模糊测试人员生成的,他们故意试图破坏应用程序的数据结构以查找漏洞.
| 归档时间: |
|
| 查看次数: |
107 次 |
| 最近记录: |