[Item90] 직렬화된 인스턴스 대신 직렬화 프록시 사용을 검토하라 about effective-java-study HOT 2 OPEN

자바의 역직렬화는 데이터나 객체를 원래의 상태로 복원하는 과정
서버가 클라이언트로부터 받은 직렬화된 데이터를 역직렬화하여 사용하는데, 클라이언트가 제공하는 직렬화된 데이터가 고도로 변조되거나 수정될 수 있다.
그래서 클라이언트가 마음대로 확장 가능한 경우를 역직렬화 시점에서 허용하는 것은 크게 위험

이 문제를 메모리와 연관지어 설명하면, 클라이언트가 제공한 데이터를 역직렬화하면서 객체를 생성하게 되는데, 이 때 공격자(클라이언트)가 엄청난 양의 데이터를 보내거나 의도적으로 복잡한 객체 그래프를 만들어내면서 서버의 메모리를 과도하게 차지하게 할 수 있습니다. 이렇게 되면 서버의 메모리 사용량이 급격히 증가하여 서비스를 제대로 제공하지 못하게 되거나, 심각한 경우 서버가 다운되는 결과를 초래할 수 있습니다.

또한, 악의적인 클라이언트는 역직렬화 과정에서 특정 코드가 실행되도록 조작된 데이터를 보낼 수도 있습니다. 이렇게 되면 역직렬화 과정에서 예상치 못한 코드가 실행되어 시스템에 보안 취약점을 만들거나, 기타 다른 보안 이슈를 초래할 수 있습니다.

따라서, 자바의 역직렬화 과정에서는 클라이언트가 보낸 데이터를 신뢰하지 않고, 역직렬화를 진행하기 전에 적절한 유효성 검사와 필터링을 수행하는 것이 중요합니다.

from effective-java-study.

OWASP

• Deserialization of untrusted data
• NVD Categorization, CWE-502: Deserialization of Untrusted Data: The application deserializes untrusted data without sufficiently verifying that the resulting data will be valid.
• https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data

블랙햇 USA 2016

• PWNING YOUR JAVA MESSAGING WITH DESERIALIZATION VULNERABILITIES

from effective-java-study.