Heim >Backend-Entwicklung >C++ >Ist die automatische JSON-Deserialisierung mit „TypeNameHandling.Auto' von Json.Net sicher, auch wenn die Deserialisierung auf einen bestimmten Typ beschränkt ist?
Ist die automatische JSON-Deserialisierung mit „TypeNameHandling.Auto' von Json.Net sicher, auch wenn die Deserialisierung auf einen bestimmten Typ beschränkt ist?
- Mary-Kate OlsenOriginal
- 2025-01-07 14:16:41926Durchsuche
Kann externes JSON aufgrund von Json.Net TypeNameHandling Auto anfällig sein?
Problem:
Bei Website-Anwendungen, bei denen Benutzer benutzerdefinierte JSON-Objekte hochladen, ist es unbedingt erforderlich, sich potenzieller Bedrohungen bewusst zu sein, die durch den automatisierten JSON-Typ entstehen Deserialisierung. Die Frage ist, ob die automatische Deserialisierung von Typen anfällig für Schwachstellen ist, wenn der einzige deserialisierte Typ ein bestimmter Typ ist (z. B. MyObject) und keines der Mitglieder von MyObject den Typ System.Object oder Dynamic hat.
Antwort:
Die Einhaltung dieser Bedingungen verringert zwar das Risiko erheblich, garantiert jedoch keinen vollständigen Schutz. Die TypeNameHandling-Einstellung von Json.Net kann, wenn sie auf „Auto“ gesetzt ist, möglicherweise Objekte basierend auf „$type“-Informationen erstellen, selbst wenn kein entsprechendes Feld in MyObject vorhanden ist.
Detaillierte Erklärung:
Angriffe auf Json.Net nutzen die TypeNameHandling-Einstellung aus, um „Angriffs-Gadgets“ zu erstellen – Objekte, die das empfangende System gefährden sollen. Zu den Schutzmechanismen von Json.Net gehören das Ignorieren unbekannter Eigenschaften und die Prüfung auf Typkompatibilität. Es gibt jedoch Szenarien, in denen ein Angriffsgerät auch ohne offensichtliche untypisierte Mitglieder erstellt werden kann:
- Deserialisierung untypisierter Sammlungen (z. B. ArrayList, List
- Deserialisierung von halbtypisierte Sammlungen (z. B. CollectionBase)
- Deserialisierung von Typen, die ISerializable implementieren (z. B. Exception)
- Deserialisierung von Typen mit bedingter Serialisierung von Mitgliedern (z. B. öffentliches Objekt tempData; public bool ShouldSerializeTempData() { return false; })
Empfehlungen:
- Seien Sie vorsichtig: TypeNameHandling sollte bei der Deserialisierung von externem JSON und einem benutzerdefinierten umsichtig verwendet werden SerializationBinder wird empfohlen für Validierung.
- Datenmodell überprüfen: Stellen Sie sicher, dass keine Mitgliedstypen objektorientiert, dynamisch oder mit Angriffsgeräten kompatibel sind.
- Serialisierungsbinder berücksichtigen: Implementieren Sie einen benutzerdefinierten SerializationBinder, um streng zu steuern, welche Typen deserialisiert werden.
Zusammenfassend lässt sich sagen, dass die bereitgestellten Bedingungen erheblich sind Um das Risiko zu mindern, ist es wichtig zu beachten, dass dadurch keine vollständige Sicherheit garantiert wird. Die Einstellung „TypeNameHandling Auto“ von Json.Net erleichtert möglicherweise weiterhin die Erstellung von Angriffsgeräten, was zusätzliche Vorsichtsmaßnahmen wie benutzerdefinierte Serialisierungsbinder erforderlich macht.
Das obige ist der detaillierte Inhalt vonIst die automatische JSON-Deserialisierung mit „TypeNameHandling.Auto' von Json.Net sicher, auch wenn die Deserialisierung auf einen bestimmten Typ beschränkt ist?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
In Verbindung stehende Artikel
Mehr sehen- C++-Kompilierungsfehler: Auf eine Header-Datei wird mehrfach verwiesen. Wie kann das Problem behoben werden?
- C++-Kompilierungsfehler: Falsche Funktionsparameter, wie kann man das beheben?
- C++-Fehler: Der Konstruktor muss im öffentlichen Bereich deklariert werden, wie gehe ich damit um?
- Prozessverwaltung und Thread-Synchronisation in C++
- Umgang mit Datenaufteilungsproblemen in der C++-Entwicklung