4
方法set_UserActiveEnvironments()に格納され、非直列化可能なオブジェクトを損傷する可能性がライン47上のHttpSessionState属性として非直列化可能なオブジェクトを格納するアプリケーションの信頼性HPフォーティファイ:ASP.NETバッド・プラクティス:HttpContextHelper.csにセッション
デフォルトでは、ASP.NETサーバーはHttpSessionStateオブジェクト、その属性、およびそれらが参照するオブジェクトをメモリに格納します。このモデルは、アクティブなセッション状態を、単一のマシンのシステムメモリが対応できるものに制限します。これらの制限を超えて容量を拡張するために、サーバは頻繁に両方が容量を拡張し、全体的なパフォーマンスを改善するために、複数のマシン間での複製を許可する永続的なセッション状態情報に設定されています。そのセッション状態を持続させるためには、HttpSessionStateオブジェクトを直列化しなければなりません。そのため、そこに格納されているすべてのオブジェクトは直列化可能でなければなりません。
なぜそれが脆弱性として表示されていますか?どのように修正するのですか?そこHP Fortifyはが示すいくつかの偽陽性があり、そしてあなたは、すべてのケースバイケースを分析する必要がある理由です
: