Ho ricevuto il seguente messaggio da Fortify static code analyzer.
Incorrect serialization and de-serialization can lead to unpredictable behavior and cause denial of service attacks.
Qualcuno può spiegare come questo può essere serializzazione e de-serializzazione può portare a DoS?
Se i dati serializzati sono forniti da un client non attendibile, possono essere manipolati.
Supponiamo che ci sia un elenco collegato. L'autore dell'attacco può aggiungere un numero enorme di voci .
Potrebbe anche essere possibile creare dati serializzati non validi. Ad esempio il campo lunghezza di un array può essere impostato su un numero molto grande. Il server allocherà memoria sufficiente per memorizzare tutti gli elementi, anche se non vengono mai inviati.
In alcune circostanze è possibile codice di attivazione che alloca altre risorse come thread o file.
Ultimo ma non meno importante ci sono state classi con bug nel loro codice di serializzazione.
Leggi altre domande sui tag java denial-of-service