외부 JSON 노출: Json.Net을 사용한 TypeNameHandling의 위험 이해
자동 유형 처리를 사용한 JSON 역직렬화는 보안 위협을 초래할 수 있습니다. 이 문서의 목적은 Json.Net에서 자동으로 설정된 설정으로 TypeNameHandling을 사용할 때 발생할 수 있는 취약점을 명확히 하는 것입니다.
Json.Net의 TypeNameHandling 이해
TypeNameHandling이 JSON을 제어하는 방식. Net은 인스턴스화할 형식의 정규화된 이름을 지정하는 "$type" 속성을 사용하여 형식을 역직렬화합니다. Auto로 설정하면 Json.Net은 지정된 유형을 확인하고 인스턴스 생성을 시도합니다.
잠재적 위험
데이터 모델에 직접 개체 또는 동적 멤버가 없으면 역직렬화 공격으로부터 보호받을 수 있다고 가정할 수 있습니다. 그러나 특정 시나리오에서는 여전히 위험이 발생할 수 있습니다.
- 형식화되지 않은 컬렉션: ArrayList 또는 List
- CollectionBase: CollectionBase에서 상속된 유형은 런타임 항목 유효성 검사를 허용하여 공격 가젯 구성에 잠재적인 허점을 만듭니다.
- 공유 기본 유형: 공격 가젯이 공유하는 기본 유형 또는 인터페이스가 있는 다형성 값은 역직렬화에 취약합니다. 공격.
- ISerialized 유형: ISerialized를 구현하는 유형은 Exception.Data 사전을 포함하여 유형이 지정되지 않은 멤버를 역직렬화할 수 있습니다.
- 조건부 직렬화: 다음으로 표시된 멤버 ShouldSerialize 메서드를 통해 직렬화되지 않은 메서드가 JSON에 있는 경우 여전히 역직렬화할 수 있습니다. 입력.
완화 조치
보안을 강화하려면 다음을 고려하십시오.
- Custom SerializationBinder: 예상 유형을 검증하고 예상치 못한 유형의 역직렬화를 방지하기 위해 사용자 정의 SerializationBinder를 구현합니다. 유형.
- TypeNameHandling.None: 역직렬화 중에 유형 확인을 효과적으로 비활성화하는 TypeNameHandling을 None으로 설정하는 것이 좋습니다.
- 예기치 않은/숨겨진 입력에 대한 경고: 데이터에 유형이 지정되지 않은 멤버나 숨겨진 직렬화 동작이 있는지 경계하세요. model.
- 기본 직렬화 계약 비활성화: DefaultContractResolver.IgnoreSerializedInterface 또는 DefaultContractResolver.IgnoreSerializedAttribute를 false로 설정하지 마십시오.
결론
Json.Net의 특정 메커니즘은 취약점을 완화하는 데 도움이 되지만 외부 JSON 역직렬화에서 TypeNameHandling으로 인해 발생하는 잠재적인 위험을 신중하게 고려하는 것이 중요합니다. 사용자 정의 SerializationBinder 구현 및 데이터 모델 입력 확인과 같은 권장 예방 조치를 따르면 Json.Net의 기능을 활용하면서 애플리케이션의 보안을 강화할 수 있습니다.
위 내용은 Json.Net의 TypeNameHandling을 사용한 JSON 역직렬화는 얼마나 안전합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
C 언어 함수에 의해 반환 된 값 유형은 무엇입니까? 반환 값을 결정하는 것은 무엇입니까?Mar 03, 2025 pm 05:52 PM이 기사는 기본 (int, float, char 등), 파생 (배열, 포인터, 스트러크) 및 공극 유형을 포함하는 C 함수 리턴 유형에 대해 자세히 설명합니다. 컴파일러는 함수 선언과 반환 명령문을 통해 반환 유형을 결정합니다.
Gulc : C 도서관은 처음부터 구축되었습니다Mar 03, 2025 pm 05:46 PMGULC는 최소 오버 헤드, 공격적인 인라인 및 컴파일러 최적화 우선 순위를 정하는 고성능 C 라이브러리입니다. 고주파 거래 및 임베디드 시스템과 같은 성능 크리티컬 애플리케이션에 이상적 인 디자인은 단순성, 모듈을 강조합니다.
C 언어 함수 형식 문자 케이스 변환 단계Mar 03, 2025 pm 05:53 PM이 기사는 문자열 케이스 변환에 대한 C 기능을 자세히 설명합니다. ctype.h의 toupper () 및 tolower ()를 사용하고 문자열을 통한 반복 및 널 터미네이터를 처리합니다. ctype.h를 잊어 버리고 문자 그럴을 수정하는 것과 같은 일반적인 함정은 다음과 같습니다.
C 언어 기능의 정의 및 호출 규칙은 무엇이며Mar 03, 2025 pm 05:53 PM이 기사는 C 함수 선언 대 정의, 인수 통과 (값 및 포인터 별), 리턴 값 및 메모리 누출 및 유형 불일치와 같은 일반적인 함정을 설명합니다. 모듈성 및 Provi에 대한 선언의 중요성을 강조합니다.
메모리에 저장된 C 언어 함수의 반환 값은 어디에 있습니까?Mar 03, 2025 pm 05:51 PM이 기사에서는 C 기능 반환 값 저장을 검사합니다. 작은 반환 값은 일반적으로 속도 레지스터에 저장됩니다. 더 큰 값은 포인터에 메모리 (스택 또는 힙)를 사용하여 수명에 영향을 미치고 수동 메모리 관리가 필요할 수 있습니다. 직접 ACC
뚜렷한 사용 및 문구 공유Mar 03, 2025 pm 05:51 PM이 기사는 형용사 "별개", 문법 기능, 공통 문구 (예 : "구별", "뚜렷하게 다른") 및 공식 대 비공식의 미묘한 응용 프로그램의 다각적 인 사용을 분석합니다.
STL (정렬, 찾기, 변환 등)의 알고리즘을 효율적으로 사용하려면 어떻게합니까?Mar 12, 2025 pm 04:52 PM이 기사는 효율적인 STL 알고리즘 사용을 자세히 설명합니다. 데이터 구조 선택 (벡터 대 목록), 알고리즘 복잡성 분석 (예 : std :: sort vs. std :: partial_sort), 반복자 사용 및 병렬 실행을 강조합니다. 일반적인 함정과 같은
C 표준 템플릿 라이브러리 (STL)는 어떻게 작동합니까?Mar 12, 2025 pm 04:50 PM이 기사에서는 컨테이너, 반복자, 알고리즘 및 함수 인 핵심 구성 요소에 중점을 둔 C 표준 템플릿 라이브러리 (STL)에 대해 설명합니다. 일반적인 프로그래밍을 가능하게하기 위해 이러한 상호 작용, 코드 효율성 및 가독성 개선 방법에 대해 자세히 설명합니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
맨티스BT
Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.
드림위버 CS6
시각적 웹 개발 도구
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
