淺析C# Xml Serializer的安全隱患
C# XmlSerializer使用注意事項是什么呢?我們在實際的操作中要注意保護C# XmlSerializer應用程序,那是為什么呢?下面我們詳細的來講解下。在創建呵和使用C# XmlSerializer的應用程序時,您應當注意什么?
C# XmlSerializer注意事項1、C# XmlSerializer創建 C# 文件 (.cs 文件)的過程。
這個過程C# XmlSerializer創建完文件并將其編譯成 .dll 文件,這些 .dll 文件位于由 TEMP 環境變量指定的目錄中;這些 DLL 文件將發生序列化。
代碼和 DLL 在創建和進行編譯時,易于遭受惡意進程的攻擊。如果所使用的計算機運行的是 Microsoft Windows NT 4.0 或更高版本,則有可能會有兩個或更多用戶共享臨時目錄。
如果同時存在以下兩種情況,則共享臨時目錄是有危險性的:(1) 兩個帳戶有不同的安全特權;(2) 具有較高特權的帳戶運行一個使用 XmlSerializer 的應用程序。在這種情況下,某一用戶可以替換所編譯的 .cs 或 .dll 文件,由此破壞計算機的安全性。為了避免發生這一問題,請始終確保計算機上的每一帳戶都有自己的配置文件。如果能夠保證這一點的話,默認情況下,TEMP 環境變量就會為不同的帳戶指定不同的目錄。
如果一名惡意用戶向 Web 服務器發送持續的 XML 數據流(拒絕服務攻擊),XmlSerializer 會一直處理這一數據,直到計算機資源不夠用才停止。
如果您所使用的計算機運行 Internet 信息服務 (IIS),并且您的應用程序是在 IIS 下運行,就可以避免這類攻擊。IIS 帶有一個控制門,用于禁止處理大于設定數量(默認值是 4 KB)的數據流。如果您所創建的應用程序不使用 IIS,同時該應用程序使用 XmlSerializer 進行反序列化,則應該實現一個類似的控制門,以阻止拒絕服務攻擊。
C# XmlSerializer注意事項2、XmlSerializer 將使用給予它的任何類型,對數據進行序列化,并運行任何代碼。
惡意對象施加威脅的方式有兩種。一種是運行惡意代碼,另一種是將惡意代碼插入到由 XmlSerializer 創建的 C# 文件中。在第一種情況下,如果惡意對象試圖運行破壞性過程,代碼訪問安全性將幫助防止發生任何破壞。在第二種情況下,在理論上,惡意對象有可能會以某種方式將代碼插入到由 XmlSerializer 創建的 C# 文件中。盡管對這一問題已進行了徹底的檢驗,而且這類攻擊被認為是不可能的,但您還是應該小心一些,一定不要序列化那些不可信的未知類型的數據。
C# XmlSerializer注意事項3、已序列化的重要數據可能易于遭到攻擊。
XmlSerializer 對數據進行了序列化之后,數據可以被存儲為 XML 文件,或存儲在其他數據存儲區。如果其他進程可以訪問到您的數據存儲區,或是可以在 Intranet 或 Internet 上看到該數據存儲區,數據就可能被竊取,并被惡意使用。例如,如果您創建了一個應用程序,對包含信用卡號碼的訂單進行序列化,這一數據就非常重要。為了防止發生這一問題,請始終保護您的數據存儲區,并對數據采取保密措施。
C# XmlSerializer的使用特別要注意的事項就向你介紹到這里,希望對了解和學習C# XmlSerializer有所幫助。
【編輯推薦】
