Ist Ihre Json.Net-Einstellung „TypeNameHandling' (Auto) anfällig für externe JSON-Datenangriffe?

Können externe JSON-Daten eine Bedrohung darstellen, wenn Json.Net TypeNameHandling auf „Auto“ eingestellt ist?

Bei der JSON-Deserialisierung ist die TypeNameHandling-Einstellung von Json. Das Internet spielt eine entscheidende Rolle bei der Eindämmung potenzieller Bedrohungen. Es bestehen jedoch weiterhin Bedenken hinsichtlich der Sicherheit der Verwendung dieser Einstellung mit vom Benutzer bereitgestellten JSON-Daten. Lassen Sie uns näher auf das Problem eingehen und die potenziellen Risiken und Vorsichtsmaßnahmen untersuchen.

Die Schwachstellen von TypeNameHandling

Externe JSON-Nutzlasten können so manipuliert werden, dass sie „$type“-Eigenschaften enthalten, die angeben Typen für die Deserialisierung. Wenn diese Typen nicht sorgfältig validiert werden, können Angreifer sie ausnutzen, um unerwünschte Objekte, sogenannte „Angriffs-Gadgets“, zu instanziieren. Diese Gadgets können bösartige Aktionen ausführen, wie z. B. Remote Code Execution (RCE) oder Dateisystemmanipulation.

Schutzmaßnahmen

Json.Net hat Sicherheitsmaßnahmen implementiert, um solche Angriffe zu verhindern :

• Unbekannte Eigenschaften-Ignoranz: Es ignoriert unbekannte Eigenschaften und rendert JSON Nutzlasten mit überflüssigen „$type“-Eigenschaften sind harmlos.
• Serialisierungskompatibilität: Während der Deserialisierung polymorpher Werte wird geprüft, ob der aufgelöste Typ mit dem erwarteten übereinstimmt. Wenn nicht, wird eine Ausnahme ausgelöst.

Potenzielle Lücken

Trotz dieser Maßnahmen gibt es bestimmte Situationen, in denen ein Angriffs-Gadget auch in Zukunft noch konstruiert werden kann das Fehlen offensichtlicher untypisierter Mitglieder:

• Untypisierte Sammlungen: Das Deserialisieren von Sammlungen unbekannter Typen, wie ArrayList, List
• Halbtypisierte Sammlungen: Deserialisieren von Sammlungen, die von CollectionBase abgeleitet sind , die die Laufzeittypvalidierung unterstützen, können ein Fenster für die Gadget-Erstellung erstellen.
• Shared Base Typen: Polymorphe Mitglieder, die als Schnittstellen oder Basistypen deklariert werden, die von Angriffsgeräten (z. B. ICollection, IDisposable) gemeinsam genutzt werden, können Schwachstellen verursachen.
• ISerializable-Schnittstelle: Typen, die ISerializable implementieren, können unbeabsichtigt untypisiert deserialisieren Mitglieder, die sie aussetzen Angriff.
• Bedingte Serialisierung:Mitglieder, die in ShouldSerializeAttribute als nicht serialisiert markiert sind, können dennoch deserialisiert werden, wenn sie in der JSON-Nutzlast vorhanden sind.

Empfehlungen

Um Risiken zu minimieren, beachten Sie Folgendes Empfehlungen:

• Unbekannte Typen validieren: Implementieren Sie einen benutzerdefinierten SerializationBinder, um eingehende serialisierte Typen zu überprüfen und nicht autorisierte Typen abzulehnen.
• Untypisierte Mitglieder vermeiden: Stellen Sie sicher, dass Ihre Daten Das Modell enthält keine Mitglieder vom Typ „Objekt“, „dynamisch“ oder andere potenziell ausnutzbare Elemente Typen.
• DefaultContractResolver festlegen: Erwägen Sie, DefaultContractResolver.IgnoreSerializableInterface und DefaultContractResolver.IgnoreSerializableAttribute auf true zu setzen.
• Code für nicht serialisierte Mitglieder überprüfen: Überprüfen dass Mitglieder als markiert sind Nicht serialisierte Dateien werden in unerwarteten Situationen nicht deserialisiert.

Durch die Einhaltung dieser Best Practices können Sie die Wahrscheinlichkeit erheblich reduzieren, dass externe JSON-Daten Ihr System gefährden, indem Json.Net TypeNameHandling auf „Auto“ eingestellt ist.

Das obige ist der detaillierte Inhalt vonIst Ihre Json.Net-Einstellung „TypeNameHandling' (Auto) anfällig für externe JSON-Datenangriffe?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!