我正在准备MCTS考试70-536并阅读“MCTS自学培训”一书 套件考试70 536微软网框架应用开发基础第二名 版“
在第5章 - 序列化中,下面是困扰我的陈述。
您必须在中执行数据验证 你的序列化构造函数和 抛出一个SerializationException,如果 提供了无效数据。风险是 攻击者可以使用你的课程 但提供假序列化 试图利用的信息 弱点。
我理解数据验证但无法理解攻击者如何提供虚假信息 序列化信息。我想从一个例子中知道这一点 (无论是代码还是概念)。我在网上搜索但没想出任何东西。
答案 0 :(得分:6)
如果将数据序列化为文件,则用户可能只是编辑文件以导致程序行为不正确。如果您在线读取或写入某个位置(包括在未经过身份验证的情况下修改传输中的数据),则可以执行类似的操作。讨论的总体主题是无法保证应用程序生成序列化数据;它可能是由攻击者或模糊测试人员生成的,他们故意试图破坏应用程序的数据结构以发现漏洞。