Ist die automatische JSON-Deserialisierung mit „TypeNameHandling.Auto' von Json.Net sicher, auch wenn die Deserialisierung auf einen bestimmten Typ beschränkt ist?-C++-php.cn

Ist die automatische JSON-Deserialisierung mit „TypeNameHandling.Auto' von Json.Net sicher, auch wenn die Deserialisierung auf einen bestimmten Typ beschränkt ist?

Mary-Kate Olsen

Jan 07, 2025 pm 02:16 PM

Is Automatic JSON Deserialization with Json.Net's `TypeNameHandling.Auto` Secure, Even When Limiting Deserialization to a Specific Type?

Kann externes JSON aufgrund von Json.Net TypeNameHandling Auto anfällig sein?

Problem:

Bei Website-Anwendungen, bei denen Benutzer benutzerdefinierte JSON-Objekte hochladen, ist es unbedingt erforderlich, sich potenzieller Bedrohungen bewusst zu sein, die durch den automatisierten JSON-Typ entstehen Deserialisierung. Die Frage ist, ob die automatische Deserialisierung von Typen anfällig für Schwachstellen ist, wenn der einzige deserialisierte Typ ein bestimmter Typ ist (z. B. MyObject) und keines der Mitglieder von MyObject den Typ System.Object oder Dynamic hat.

Antwort:

Die Einhaltung dieser Bedingungen verringert zwar das Risiko erheblich, garantiert jedoch keinen vollständigen Schutz. Die TypeNameHandling-Einstellung von Json.Net kann, wenn sie auf „Auto“ gesetzt ist, möglicherweise Objekte basierend auf „$type“-Informationen erstellen, selbst wenn kein entsprechendes Feld in MyObject vorhanden ist.

Detaillierte Erklärung:

Angriffe auf Json.Net nutzen die TypeNameHandling-Einstellung aus, um „Angriffs-Gadgets“ zu erstellen – Objekte, die das empfangende System gefährden sollen. Zu den Schutzmechanismen von Json.Net gehören das Ignorieren unbekannter Eigenschaften und die Prüfung auf Typkompatibilität. Es gibt jedoch Szenarien, in denen ein Angriffsgerät auch ohne offensichtliche untypisierte Mitglieder erstellt werden kann:

Deserialisierung untypisierter Sammlungen (z. B. ArrayList, List
Deserialisierung von halbtypisierte Sammlungen (z. B. CollectionBase)
Deserialisierung von Typen, die ISerializable implementieren (z. B. Exception)
Deserialisierung von Typen mit bedingter Serialisierung von Mitgliedern (z. B. öffentliches Objekt tempData; public bool ShouldSerializeTempData() { return false; })

Empfehlungen:

Seien Sie vorsichtig: TypeNameHandling sollte bei der Deserialisierung von externem JSON und einem benutzerdefinierten umsichtig verwendet werden SerializationBinder wird empfohlen für Validierung.
Datenmodell überprüfen: Stellen Sie sicher, dass keine Mitgliedstypen objektorientiert, dynamisch oder mit Angriffsgeräten kompatibel sind.
Serialisierungsbinder berücksichtigen: Implementieren Sie einen benutzerdefinierten SerializationBinder, um streng zu steuern, welche Typen deserialisiert werden.

Zusammenfassend lässt sich sagen, dass die bereitgestellten Bedingungen erheblich sind Um das Risiko zu mindern, ist es wichtig zu beachten, dass dadurch keine vollständige Sicherheit garantiert wird. Die Einstellung „TypeNameHandling Auto“ von Json.Net erleichtert möglicherweise weiterhin die Erstellung von Angriffsgeräten, was zusätzliche Vorsichtsmaßnahmen wie benutzerdefinierte Serialisierungsbinder erforderlich macht.

Das obige ist der detaillierte Inhalt vonIst die automatische JSON-Deserialisierung mit „TypeNameHandling.Auto' von Json.Net sicher, auch wenn die Deserialisierung auf einen bestimmten Typ beschränkt ist?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Verwandter Artikel

GULC: C -Bibliothek von Grund auf neu gebautMar 03, 2025 pm 05:46 PM

GULC ist eine Hochleistungs-C-Bibliothek, die minimale Overheads, aggressive Einbeziehung und Compiler-Optimierung priorisiert. Ideal für leistungskritische Anwendungen wie Hochfrequenzhandel und eingebettete Systeme, sein Design betont die Einfachheit, Modul

Welche Werte sind von C -Sprachfunktionen zurückgegeben? Was bestimmt den Rückgabewert?Mar 03, 2025 pm 05:52 PM

In diesem Artikel werden die Funktionstypen zur Rückgabe von Funktionen (int, float, char usw.), abgeleitet (Arrays, Zeiger, Strukturen) und Hohlraumtypen enthält. Der Compiler bestimmt den Rückgabetyp über die Funktionserklärung und die Rückgabeerklärung unter der Durchsetzung

Was sind die Definitionen und Aufrufregeln von C -Sprachfunktionen und was sind die?Mar 03, 2025 pm 05:53 PM

Dieser Artikel erläutert die C -Funktionserklärung im Vergleich zu Definition, Argumentübergabe (nach Wert und Zeiger), Rückgabetwerten und gemeinsamen Fallstricken wie Speicherlecks und Typenfehlanpassungen. Es betont die Bedeutung von Erklärungen für Modularität und Provi

C Sprachfunktionsformat -Buchstaben -Fall -KonvertierungsschritteMar 03, 2025 pm 05:53 PM

In diesem Artikel wird die C -Funktion für die String -Fallkonvertierung beschrieben. Es erklärt mit toupper () und tolower () aus ctype.h, iteriert durch Saiten und Handhabung von Null -Terminatoren. Häufige Fallstricke wie das Vergessen von ctype.h und das Modifizieren von String -Literalen sind

Wo ist der Rückgabewert der C -Sprachfunktion im Speicher?Mar 03, 2025 pm 05:51 PM

Dieser Artikel untersucht die Speicher des C -Funktionsrückgabewerts. Kleine Renditewerte werden in der Regel in Registern für Geschwindigkeit gespeichert. Größere Werte können Zeiger zum Speicher verwenden (Stapel oder Heap), die die Lebensdauer beeinflussen und die manuelle Speicherverwaltung erfordern. Direkt ACC

eindeutiger Gebrauch und PhrasenfreigabeMar 03, 2025 pm 05:51 PM

Dieser Artikel analysiert die vielfältigen Verwendungen des Adjektivs "Unterscheidet", die seine grammatikalischen Funktionen, gemeinsame Phrasen (z. B. "unterscheidet sich von" "deutlich anders") und nuancierte Anwendung in formalen vs. informellen Anwendung

Wie funktioniert die C -Standard -Vorlagenbibliothek (STL)?Mar 12, 2025 pm 04:50 PM

In diesem Artikel werden die C -Standard -Vorlagenbibliothek (STL) erläutert, die sich auf seine Kernkomponenten konzentriert: Container, Iteratoren, Algorithmen und Funktoren. Es wird beschrieben, wie diese interagieren, um die generische Programmierung, die Verbesserung der Codeeffizienz und die Lesbarkeit t zu ermöglichen

Wie benutze ich Algorithmen aus der STL (sortieren, finden, transformieren usw.) effizient?Mar 12, 2025 pm 04:52 PM

Dieser Artikel beschreibt die effiziente Verwendung von STL -Algorithmus in c. Es betont die Auswahl der Datenstruktur (Vektoren vs. Listen), Algorithmus -Komplexitätsanalyse (z. B. std :: sortieren vs. std :: partial_sort), Iteratoranwendungen und parallele Ausführung. Häufige Fallstricke wie

See all articles