安全でないデシリアライゼーション
書籍を読んで
www.amazon.co.jp
こちらの書籍を読んでWebアプリケーションを作る際に重要な要点を自分用としてアウトプットします。 安全でないデータをデシリアライズすることは基本的に危険であり、避けなければならない
対策としては以下が考えられる
- シリアライズ形式ではなくJSON形式によりデータを受け渡す
- クッキーやhiddenパラメータではなくセッション変数など書き換えできない形でシリアライズ形式のデータを受け渡す
- HMACなどの改ざん検知の仕組みを導入してデータが改ざんされていないことを確認する安全でないデシリアライゼーション
概要
脆弱性が生まれる原因
対策