[시큐어코딩 가이드] 2-5-3. 신뢰할 수 없는 데이터의 역직렬화

신뢰할 수 없는 데이터의 역직렬화 정의 송신자가 네트워크를 이용해 직렬화된 정보를 수신자에게 전달하는 과정에서 공격자가 전송한 데이터 또는 저장된 스트림을 조작할 수 있는 경우, 신뢰할 수 없는 역직렬화로 인해 무결성 침해, 원격코드실행, 서비스 거부 공격 등이 발생할 수 있는 보안약점입니다. *직렬화(Serialization)는 프로그램에서 특정 클래스의 현재 인스턴스 상태를 다른 서버로 전달하기 위해 클래스의 인스턴스 정보를 바이트 스트림으로 복사하는 작업으로, 메모리 상에서 실행되고 있는 객체의 상태를 그대로 복제해 파일로 저장하거나 수신 측에 전달하게 됩니다. *역직렬화(Deserialization)는 반대 연산으로 바이너리 파일(Binary File) 이나 바이트 스트림(Byte Stream) ..