Recibí el siguiente mensaje del analizador de código estático Fortify.
La serialización y la deserialización incorrectas pueden llevar a un comportamiento impredecible y provocar ataques de denegación de servicio.
¿Puede alguien explicar cómo esto puede ser la serialización y la deserialización puede llevar a DoS?
Si los datos serializados son proporcionados por un cliente que no es de confianza, puede ser manipulado.
Supongamos que hay una lista enlazada. El atacante puede agregar una gran cantidad de entradas .
Incluso puede ser posible crear datos serializados no válidos. Por ejemplo, el campo de longitud de una matriz se puede establecer en un número muy grande. El servidor asignará suficiente memoria para almacenar todos los elementos, aunque nunca se envían.
En algunas circunstancias, es posible activar el código que asigna otros recursos como hilos o archivos.
Por último, pero no menos importante, ha habido clases con errores en su código de serialización.
Lea otras preguntas en las etiquetas denial-of-service java