A8 不安全的反序列化

对反序列化的利用是有点困难，因为在不更改或调整底层可被利用代码的情况下，现成的反序列化漏洞很难被使用。

这一问题包括在TOP10的行业调查中，而不是基于可量化的数据。

有些工具可以被用于发现反序列化缺陷，但经常需要人工帮助来验证发现的问题。希望有关反序列化缺陷的普遍性数据将随着工具的开发而被更多的识别和解决。

反序列化缺陷的影响不能被低估。他们可能导致远程代码执行攻击，这是可能发生的最严重的的攻击之一

业务影响取决于应用程序和数据的保护需求

在应用程序中，序列化可能被用于：远程和进程间通信（RPC/IPC）、连线协议web服务消息代理、缓存/持久性、数据库缓存服务器文件系统、HTTP cookie HTML表单参数、API身份验证令牌

唯一安全的架构模式是不接受来自不受信源的序列化对象，或使用只允许原始数据类型的序列化媒体如果上述不可能的话考虑使用以下方法

执行完整性检查，在创建对象之前强制执行严格的类型约束，如果可能隔离运行那些在低特权环境中反序列化的代码，限制或监视来自于容器或服务器传入和传出的反序列化网络连接，监控反序列化，当用户持续进行反序列化时，对用户进行警告。