Json.Net TypeNameHandling 자동으로 인한 외부 JSON 취약성
Json.Net의 TypeNameHandling 자동 설정은 신뢰할 수 없는 JSON을 역직렬화할 때 잠재적으로 보안 위험을 초래할 수 있습니다. 소스. 그러나 특정 지침을 준수하면 이러한 위험을 완화할 수 있습니다.
유형 안전 및 공격 가젯
TypeNameHandling을 악용하는 공격은 악의적인 작업을 실행하는 "공격 가젯" 구축에 의존합니다. 인스턴스화 또는 초기화 시. Json.Net은 역직렬화된 유형과 예상 유형의 호환성을 검증하여 이러한 공격으로부터 보호합니다.
취약성 조건
대상에 명시적인 개체나 동적 멤버가 없는 경우 등급이 위험을 줄여준다고 해서 안전성이 완전히 보장되는 것은 아닙니다. 다음 시나리오에서 잠재적인 취약점이 발생할 수 있습니다.
- 유형이 지정되지 않은 컬렉션: 유형이 지정되지 않은 컬렉션(예: List
- CollectionBase 구현: CollectionBase 유형은 런타임에만 항목 유형을 검증할 수 있어 잠재적인 취약성 창을 생성합니다.
- 공유 기본 유형/인터페이스: 공격 가젯과 기본 유형 또는 인터페이스를 공유하는 유형은 취약성을 상속할 수 있습니다.
- ISerialized 인터페이스: ISerialize를 구현하는 유형의 역직렬화를 통해 유형이 지정되지 않은 멤버를 허용할 수 있음 deserialization.
- 조건부 직렬화: ShouldSerializeAttribute 메서드로 표시된 멤버는 명시적으로 직렬화되지 않은 경우에도 역직렬화될 수 있습니다.
위험 완화
위험을 최소화하려면 다음 사항을 반드시 준수해야 합니다. 권장 사항:
- 가능한 경우 TypeNameHandling.None을 사용하세요.
- 사용자 지정 SerializationBinder를 구현하여 수신 유형을 확인하고 예상치 못한 유형의 역직렬화를 방지하세요.
- [Serialized ] 속성을 DefaultContractResolver.IgnoreSerializedAttribute로 설정하여 true.
- 역직렬화해서는 안 되는 모든 객체 멤버가 false를 반환하는 ShouldSerializeAttribute 메서드로 표시되어 있는지 확인하세요.
이러한 지침을 준수하면 JSON을 안전하게 역직렬화할 수 있습니다. TypeNameHandling auto가 있으면 공격 위험이 크게 줄어듭니다.
위 내용은 Json.Net의 TypeNameHandling을 사용하여 외부 소스에서 JSON 역직렬화를 보호하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
C 언어 함수에 의해 반환 된 값 유형은 무엇입니까? 반환 값을 결정하는 것은 무엇입니까?Mar 03, 2025 pm 05:52 PM이 기사는 기본 (int, float, char 등), 파생 (배열, 포인터, 스트러크) 및 공극 유형을 포함하는 C 함수 리턴 유형에 대해 자세히 설명합니다. 컴파일러는 함수 선언과 반환 명령문을 통해 반환 유형을 결정합니다.
Gulc : C 도서관은 처음부터 구축되었습니다Mar 03, 2025 pm 05:46 PMGULC는 최소 오버 헤드, 공격적인 인라인 및 컴파일러 최적화 우선 순위를 정하는 고성능 C 라이브러리입니다. 고주파 거래 및 임베디드 시스템과 같은 성능 크리티컬 애플리케이션에 이상적 인 디자인은 단순성, 모듈을 강조합니다.
C 언어 함수 형식 문자 케이스 변환 단계Mar 03, 2025 pm 05:53 PM이 기사는 문자열 케이스 변환에 대한 C 기능을 자세히 설명합니다. ctype.h의 toupper () 및 tolower ()를 사용하고 문자열을 통한 반복 및 널 터미네이터를 처리합니다. ctype.h를 잊어 버리고 문자 그럴을 수정하는 것과 같은 일반적인 함정은 다음과 같습니다.
C 언어 기능의 정의 및 호출 규칙은 무엇이며Mar 03, 2025 pm 05:53 PM이 기사는 C 함수 선언 대 정의, 인수 통과 (값 및 포인터 별), 리턴 값 및 메모리 누출 및 유형 불일치와 같은 일반적인 함정을 설명합니다. 모듈성 및 Provi에 대한 선언의 중요성을 강조합니다.
메모리에 저장된 C 언어 함수의 반환 값은 어디에 있습니까?Mar 03, 2025 pm 05:51 PM이 기사에서는 C 기능 반환 값 저장을 검사합니다. 작은 반환 값은 일반적으로 속도 레지스터에 저장됩니다. 더 큰 값은 포인터에 메모리 (스택 또는 힙)를 사용하여 수명에 영향을 미치고 수동 메모리 관리가 필요할 수 있습니다. 직접 ACC
뚜렷한 사용 및 문구 공유Mar 03, 2025 pm 05:51 PM이 기사는 형용사 "별개", 문법 기능, 공통 문구 (예 : "구별", "뚜렷하게 다른") 및 공식 대 비공식의 미묘한 응용 프로그램의 다각적 인 사용을 분석합니다.
STL (정렬, 찾기, 변환 등)의 알고리즘을 효율적으로 사용하려면 어떻게합니까?Mar 12, 2025 pm 04:52 PM이 기사는 효율적인 STL 알고리즘 사용을 자세히 설명합니다. 데이터 구조 선택 (벡터 대 목록), 알고리즘 복잡성 분석 (예 : std :: sort vs. std :: partial_sort), 반복자 사용 및 병렬 실행을 강조합니다. 일반적인 함정과 같은
C 표준 템플릿 라이브러리 (STL)는 어떻게 작동합니까?Mar 12, 2025 pm 04:50 PM이 기사에서는 컨테이너, 반복자, 알고리즘 및 함수 인 핵심 구성 요소에 중점을 둔 C 표준 템플릿 라이브러리 (STL)에 대해 설명합니다. 일반적인 프로그래밍을 가능하게하기 위해 이러한 상호 작용, 코드 효율성 및 가독성 개선 방법에 대해 자세히 설명합니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
Dreamweaver Mac版
시각적 웹 개발 도구
PhpStorm 맥 버전
최신(2018.2.1) 전문 PHP 통합 개발 도구
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
