کمزوری کا کامیابی سے فائدہ اٹھانے کے لیے، حملہ آور کو سرور پر موجود فائل کے مواد اور نام کو کنٹرول کرنے کے قابل ہونا چاہیے (مثال کے طور پر، اگر ایپلی کیشن دستاویزات یا تصاویر ڈاؤن لوڈ کرنے کی صلاحیت رکھتی ہے)۔ اس کے علاوہ، حملہ صرف ان سسٹمز پر ممکن ہے جو FileStore سٹوریج کے ساتھ PersistenceManager استعمال کرتے ہیں، جس کی سیٹنگز میں sessionAttributeValueClassNameFilter پیرامیٹر کو "null" پر سیٹ کیا جاتا ہے (بطور ڈیفالٹ، اگر SecurityManager استعمال نہیں کیا جاتا ہے) یا ایک کمزور فلٹر منتخب کیا جاتا ہے جو اعتراض کی اجازت دیتا ہے۔ ڈی سیریلائزیشن حملہ آور کو فائل اسٹور کے محل وقوع کے لحاظ سے، اپنے کنٹرول کردہ فائل کے راستے کو بھی جاننا یا اندازہ لگانا چاہیے۔
ماخذ: opennet.ru