가짜 일련 번호 정보

Question

나는 MCTS 시험 70-536을 준비하고, 책을 읽고있다 "MCTS 자기 페이스 훈련 키트 시험 70 536 마이크로 소프트 넷 프레임 워크 응용 프로그램 개발 재단 초 판"제 5 장에서

- 아래 직렬화, 저를 곤란하게 만든 진술입니다.

당신은 하여 직렬화 생성자에서 데이터 유효성 검사를 수행해야하고 유효하지 않은 데이터가 제공되는 경우 가 SerializationException을 throw합니다. 공격자가 클래스를 사용할 수 있지만 가짜 직렬화 정보를 제공하면 약점을 악용하려는 시도는 입니다.

데이터 유효성을 알고 있지만 공격자가 위조를 제공 할 수있는 방법을 이해할 수 없습니다. 직렬화 정보. 나는 (코드 또는 개념 중 하나)의 예제로 이것을 알고 싶습니다. 나는 웹을 수색했지만 아무 것도 생각 나지 않았다.

Answer 1

데이터를 파일로 직렬화하면 사용자가 파일을 편집하여 프로그램이 올바르게 작동하지 않을 수 있습니다. 온라인으로 위치를 읽거나 쓰는 경우 (인증되지 않은 경우 전송중인 데이터 수정 포함) 유사한 작업을 수행 할 수 있습니다. 토론의 전반적인 주제는 응용 프로그램에서 직렬화 된 데이터가 생성된다는 보장이 없다는 것입니다. 취약점을 찾기 위해 의도적으로 애플리케이션의 데이터 구조를 손상시키려는 공격자 또는 퍼즈 테스터가 생성 할 수 있습니다.