HP Fortify:ASP.NET不良实践:会话中存储的非可序列化对象
[英]HP Fortify : ASP.NET Bad Practices: Non-Serializable Object Stored in Session
问题描述
HttpContextHelper.cs中的方法set_UserActiveEnvironments()在第47行将一个不可序列化的对象存储为HttpSessionState属性,这可能会损害应用程序的可靠性
默认情况下,ASP.NET服务器存储HttpSessionState对象,其属性以及它们在内存中引用的任何对象。 此模型将活动会话状态限制为单个计算机的系统内存可以容纳的状态。 为了扩展超出这些限制的容量,服务器经常配置为持久会话状态信息,这些信息既可以扩展容量,又可以跨多台计算机进行复制,从而提高整体性能。 为了保持其会话状态,服务器必须序列化HttpSessionState对象,这要求存储在其中的所有对象都是可序列化的。
为什么它显示为漏洞,我该如何解决?
2 个解决方案
解决方案1
1 2017-02-08 18:03:31
Mohanraj,也许你已经找到了解决方案,但下面是一个看似合理的解释:
HP Fortify表示存在一些误报,这就是为什么您需要逐个分析它指示您的每个漏洞,这就是为什么它有一个分类列表供您分析是否发现漏洞是真正的威胁还是误报。
在这种特殊情况下,为了修复漏洞,您只需要将您尝试传输/发送到Session的类装饰为[Serializable],这在使用会话在应用程序中存储数据时是非常值得推荐的。
查看Piet Obermeyer和Jonathan Hawkins 撰写的这篇文章 ,它更好地解释了序列化的使用。
希望这可以帮助。
解决方案2
0 2018-03-16 15:44:26
我认为Fortify在C#中误解了set_accessor_declaration 。 该发现看起来像Fortify无法将value关键字的类型链接到属性的类型。
试图将发现解释为Session属性本身需要Serializable属性似乎是错误的。 ASP.NET中不同序列化模式的how-to文章告诉我,会话序列化适用于Session属性的内容而不是整个属性。
https://www.codeproject.com/Articles/32545/Exploring-Session-in-ASP-Net
当其中存在不可序列化的对象时,如何找出ASP.NET会话的大小?
[英]How to find out size of ASP.NET session, when there are non-serializable objects in it?
如何在 ASP.Net web 服务重新安装期间保留不可序列化的对象?
[英]How to to keep non-serializable objects during ASP.Net web service reinstall?
将 DataTable object 存储在 asp.net session 中的坏主意
[英]bad idea to store DataTable object in asp.net session
在ASP.NET中的Session对象上插入后,Serializable类中的属性是否会自动序列化?
[英]Are properties within a Serializable class automatically serialized when inserted on Session object in ASP.NET?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Fortify:会话中存储的不可序列化对象
当其中存在不可序列化的对象时,如何找出ASP.NET会话的大小?
HP Fortify-死代码存储在Asp.net临时文件中
HP Fortify ASP.Net Web表单
如何在 ASP.Net web 服务重新安装期间保留不可序列化的对象?
将 DataTable object 存储在 asp.net session 中的坏主意
并发ASP.NET会话最佳实践
ASP.NET会话状态服务器:存储的对象为NULL
在ASP.NET中的Session对象上插入后,Serializable类中的属性是否会自动序列化?
ASP.NET MVC不良做法:具有必需属性的可选子模型
相关标签