我正在尝试寻找某种方法来缓解应用程序前端的不安全反序列化漏洞
然后我找到了这个链接
https://blog.jscrambler.com/exploring-the-owasp-top-10-by-exploiting-vulnerable-node-applications
我在链接中看到了这个:
<块引用>A8-Insecure Deserialization 这种类型的攻击发生在 应用程序正在使用自定义序列化和反序列化。这 攻击需要了解该应用程序和类型 使用序列化。
通常,如果敏感数据被序列化和存储,这是一个问题 使用自定义序列化函数。攻击向量可以作为 序列化参数。存在恶意代码的可能性 参数反序列化时执行。
如果使用常见的序列化技术(如 JSON 和 XML),这不是问题。强制执行严格的类型约束可以减轻 风险。除此之外,应用程序不应接受序列化 来自外部来源的数据。
我只是想确认我对粗体部分的理解。这是对的吗?缓解此漏洞的一种方法是将对象序列化为 json 对象或 xml 对象,然后在反序列化对象后将其解析为预期的对象?