CWE ID: 499
Name: Serializable Class Containing Sensitive Data
“Der Code enthält eine Klasse mit sensiblen Daten, welche die Serialisierung nicht explizit unterbindet. Dadurch können die Daten durch Serialisierung der Klasse über eine andere Klasse kompromittiert werden.”
“Serialisierbare Klassen sind im Wesentlichen offene Klassen, da Daten in ihnen nicht verborgen werden können. Klassen, die die Serialisierung nicht explizit unterbinden, können von jeder anderen Klasse serialisiert werden, welche die darin gespeicherten Daten anschließend nutzen kann.”
Effektivität: Unknown
Beschreibung: “In Java sollte die Serialisierung explizit durch Definition einer finalen writeObject() Methode verhindert werden. Dies ist die empfohlene Lösung. Definieren Sie die writeObject() Funktion, um explizit eine Exception zu werfen und so die Serialisierung zu verweigern.”
Effektivität: Unknown
Beschreibung: “Stellen Sie sicher, dass die Serialisierung Ihrer Objekte verhindert wird.”
