Json.Net TypeNameHandling Auto により外部 JSON は脆弱ですか?
Web アプリケーションの領域では、JSON リクエストを処理するのが一般的です。ただし、Json.Net などの JSON フレームワークを使用した自動型逆シリアル化によってもたらされる潜在的な脅威に関して懸念が提起されています。
問題を理解する
JSON ペイロードが逆シリアル化されるとき特に動的プロパティまたはオブジェクト型プロパティが存在する場合、適切な検証が行われないと、攻撃者が次のような悪意のあるペイロードを提供する可能性があります。 「$type」キー。このキーは、逆シリアル化されると受信側システムで任意のコードを実行できる攻撃ガジェットを指定できます。
TypeNameHandling と Vulnerability
Json.Net は、TypeNameHandling 設定を提供します。 「$type」キーを含む JSON ペイロードがどのように処理されるかを決定します処理済み:
- なし: "$type" キーの逆シリアル化を無効にします。
- 自動: " で指定された型を自動的に解決します。 $type" キー。
デフォルトでは、この設定は多くの場合そのままのままです。 「自動」。潜在的な脆弱性に関する懸念が生じます。
TypeNameHandling.Auto による安全なアプローチ
受信 JSON が特定の型にのみ逆シリアル化される特定のシナリオでは ( MyObject)、MyObject またはそのサブオブジェクト内にはオブジェクトまたは動的型付きメンバーはありません。 脆弱性が存在する可能性は低い。
ただし、これは安全性を保証するものではないことに注意することが重要です。 予期しない型または型指定されていない項目を含むコレクションでは、依然として許可される可能性があります。攻撃ガジェットの逆シリアル化用。
軽減策と最善策プラクティス
リスクをさらに軽減するには、次のベスト プラクティスを検討してください。
- カスタム SerializationBinder を使用して受信型を検証します。
- の使用を制限します。オブジェクト、動的、および IDynamicMetaObjectProvider type.
- 潜在的な攻撃ガジェットと基本型を共有するコレクションまたは値を逆シリアル化する場合は注意してください。
- 実装されている型の逆シリアル化を防ぐには、DefaultContractResolver.IgnoreSerializableInterface = true を設定します。 ISerializable.
結論
Json.Net の TypeNameHandling.Auto 設定を利用すると脆弱性のリスクが軽減される可能性がありますが、受信する JSON データを徹底的に検証することが不可欠です。潜在的な脅威を軽減するために追加の保護措置を実装します。
以上がJson.Net の TypeNameHandling.Auto は外部 JSON 逆シリアル化に対するセキュリティ リスクを設定しますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

この記事では、C標準テンプレートライブラリ(STL)について説明し、そのコアコンポーネント(コンテナ、イテレーター、アルゴリズム、およびファンクター)に焦点を当てています。 これらが一般的なプログラミングを有効にし、コード効率を向上させ、読みやすさを改善する方法を詳述しています。

この記事では、cの効率的なSTLアルゴリズムの使用について詳しく説明しています。 データ構造の選択(ベクトル対リスト)、アルゴリズムの複雑さ分析(STD :: STD :: STD :: PARTIAL_SORTなど)、イテレーターの使用、および並列実行を強調しています。 のような一般的な落とし穴

この記事では、Cでの効果的な例外処理、トライ、キャッチ、スローメカニックをカバーしています。 RAIIなどのベストプラクティス、不必要なキャッチブロックを避け、ログの例外をロギングすることを強調しています。 この記事では、パフォーマンスについても説明しています

この記事では、不必要なコピーを回避することにより、パフォーマンスを向上させるために、CのMove Semanticsを使用することについて説明します。 STD :: MOVEを使用して、移動コンストラクターと割り当てオペレーターの実装をカバーし、効果的なAPPLの重要なシナリオと落とし穴を識別します

C 20の範囲は、表現力、複合性、効率を伴うデータ操作を強化します。複雑な変換を簡素化し、既存のコードベースに統合して、パフォーマンスと保守性を向上させます。

この記事では、Cでの動的発送、そのパフォーマンスコスト、および最適化戦略について説明します。動的ディスパッチがパフォーマンスに影響を与え、静的ディスパッチと比較するシナリオを強調し、パフォーマンスとパフォーマンスのトレードオフを強調します

記事では、移動セマンティクス、完璧な転送、リソース管理のためのcでのr値参照の効果的な使用について説明し、ベストプラクティスとパフォーマンスの改善を強調しています。(159文字)

Cメモリ管理は、新しい、削除、およびスマートポインターを使用します。この記事では、マニュアルと自動化された管理と、スマートポインターがメモリリークを防ぐ方法について説明します。


ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

AI Hentai Generator
AIヘンタイを無料で生成します。

人気の記事

ホットツール

SublimeText3 英語版
推奨: Win バージョン、コードプロンプトをサポート!

ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境

AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター

MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。

Dreamweaver Mac版
ビジュアル Web 開発ツール

ホットトピック



