웹 보안에서 역직렬화(Deserialization) 취약점이 위험한 이유는?

Q: 웹 보안에서 역직렬화(Deserialization) 취약점이 위험한 이유는?

공격자가 조작한 직렬화 데이터를 역직렬화할 때 임의 코드 실행(RCE)이 가능할 수 있다 신뢰할 수 없는 데이터를 역직렬화하면, 공격자가 직렬화된 객체에 악성 코드를 삽입하여 서버에서 임의 코드를 실행할 수 있습니다. Java, Python(pickle), PHP 등에서 발생 가능합니다. 방어를 위해 신뢰할 수 없는 입력의 역직렬화를 피하고, JSON 같은 단순 형식을 사용합니다.

어려움 freeCodeCamp

보기 및 정답

A 데이터의 크기가 기하급수적으로 커져서 서버의 저장 공간이 부족해지고 디스크 오류가 발생한다

B 공격자가 조작한 직렬화 데이터를 역직렬화할 때 임의 코드 실행(RCE)이 가능할 수 있다

C 데이터의 문자 인코딩이 역직렬화 과정에서 변경되어 원본 데이터가 손상되고 복원이 불가능해진다

D 직렬화된 데이터가 기본적으로 암호화되지 않기 때문에 네트워크 전송 중 평문으로 노출되기 때문이다

해설

신뢰할 수 없는 데이터를 역직렬화하면, 공격자가 직렬화된 객체에 악성 코드를 삽입하여 서버에서 임의 코드를 실행할 수 있습니다. Java, Python(pickle), PHP 등에서 발생 가능합니다. 방어를 위해 신뢰할 수 없는 입력의 역직렬화를 피하고, JSON 같은 단순 형식을 사용합니다.

코딩, 제대로 배우고 싶다면?

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

정규반 살펴보기

로그인

추가 정보 입력

회원가입

비밀번호 찾기

웹 보안에서 역직렬화(Deserialization) 취약점이 위험한 이유는?

해설

코딩, 제대로 배우고 싶다면?

관련 문제

모두를 위한 진짜 쎈 바이브코딩