FastJSON オブジェクトの逆シリアル化

critical Web App Scanning プラグイン ID 114884

Language:

概要

説明

シリアル化は、オブジェクトをバイトストリームに変換して、保存したりネットワーク経由で送信したりするプロセスです。反対に、逆シリアル化は、このバイトストリームからオブジェクトを再構築するプロセスです。

FastJSON ライブラリを使用しているアプリケーションが信頼できないデータの逆シリアル化を実行すると、攻撃者がカスタムシリアル化された JSON オブジェクトを注入して、システム上で悪意あるコードの実行を誘発したり、サービス拒否攻撃DoSを発生させたりする可能性があります。

ユーザー指定のオブジェクトを逆シリアル化するため、FastJSON を使用する標的の Java アプリケーションはこの攻撃に対して脆弱であることが判明しました。

ソリューション

信頼できないデータをアプリケーションで逆シリアル化しないでください。必要に応じて、コードのレビューを行い、任意のクラスの逆シリアル化を防止し、プロセス全体を強化する必要があります。FastJSON ライブラリが最新バージョンに更新されていることを確認し、すぐに更新できない場合は、FastJSON のセーフモードを使用するか、逆シリアル化用クラスのカスタムホワイトリスト/ブラックリストを実装することを検討してください。