假序列化信息

Question

我正在準備MCTS考試70-536和讀的書「MCTS自定進度的培訓 套件考試70 536微軟的.NET Framework應用程序開發的基礎第二 版」

在第5章 - 系列化，下面是難倒我的聲明。

您必須 您的序列化的構造函數執行數據驗證和 拋出SerializationException如果提供 無效數據。風險是 ，攻擊者可以使用您的類 ，但提供虛假序列號 信息，試圖利用 的一個弱點。

我理解數據驗證，但無法理解攻擊者如何提供僞造的 序列化信息。我想通過一個例子 （無論是在代碼中還是在概念上）來了解這一點。我搜索了網頁，但無法提供任何東西。

Answer 1

如果將數據序列化到文件中，用戶可以編輯文件以導致程序錯誤運行。如果您在線讀取或寫入位置（包括在未通過身份驗證的情況下修改傳輸中的數據），則可以執行類似的操作。討論的總體主題是，不能保證序列化數據是由您的應用程序生成的;它可能是由攻擊者或模糊測試人員生成的，該測試人員有意試圖破壞應用程序的數據結構以發現漏洞。