Deserialization of Untrusted Data
將未受信任的資料直接反序列化後使用,可能會導致系統遭到RCE攻擊(Remote Code Execution)、資料被竄改等等風險
要避免這個問題可以先從來源著手,做好來源的權限控管、增加白名單機制,避免接收到未受信任的資料。
例如要傳輸資料到系統時,必須先做oauth驗證、或者系統限制資料來源的ip...等等
其次要做好資料檢核,避免有問題的資料被反序列化之後被系統執行。
例如在程式限制反序列化後的物件類型、檢查資料流的大小等等
目前流行的網頁大多是使用比較安全的json格式傳遞資料,不過還是要謹慎小心,做好資料檢核,同時也要注意使用的第三方json套件若有弱點被發現就需要立即更新,
iThome鐵人賽
看影片追技術