CWE ID: 594
Name: J2EE Framework: Saving Unserializable Objects to Disk
Wenn der J2EE-Container versucht, nicht serialisierbare Objekte auf die Festplatte zu schreiben, gibt es keine Garantie dafür, dass der Prozess erfolgreich abgeschlossen wird.
Unter hoher Last schreiben die meisten J2EE-Anwendungsframeworks Objekte auf die Festplatte, um den Speicherbedarf für eingehende Anfragen zu verwalten. Beispielsweise werden Session-Scope-Objekte und sogar Application-Scope-Objekte bei Bedarf auf die Festplatte geschrieben. Obwohl diese Anwendungsframeworks die eigentliche Arbeit des Schreibens von Objekten auf die Festplatte erledigen, erzwingen sie nicht, dass diese Objekte serialisierbar sind. Dies macht die Webanwendung anfällig für Abstürze, die durch Serialisierungsfehler verursacht werden. Ein Angreifer könnte einen Denial-of-Service-Angriff starten, indem er genügend Anfragen an den Server sendet, um die Webanwendung zu zwingen, Objekte auf die Festplatte zu speichern.
Effektivität: Unknown
Beschreibung: Alle Objekte, die Teil des Session- und Application-Scopes werden, müssen die java.io.Serializable-Schnittstelle implementieren, um die Serialisierbarkeit der enthaltenen Objekte sicherzustellen.
