Json.Net TypeNameHandling Auto로 인해 외부 JSON이 취약합니까?
웹 애플리케이션 영역에서는 JSON 요청을 처리하는 것이 일반적인 관행입니다. . 그러나 Json.Net과 같은 JSON 프레임워크를 사용하는 자동 유형 역직렬화로 인한 잠재적인 위협에 대한 우려가 제기되었습니다.
문제 이해
JSON 페이로드가 역직렬화되는 경우 적절한 검증 없이, 특히 동적 또는 개체 유형 속성이 있는 경우 공격자가 "$type" 키가 포함된 악성 페이로드를 제공할 수 있습니다. 이 키는 역직렬화될 때 수신 시스템에서 임의의 코드를 실행할 수 있는 공격 가젯을 지정할 수 있습니다.
TypeNameHandling 및 Vulnerability
Json.Net은 다음과 같은 TypeNameHandling 설정을 제공합니다. "$type" 키가 포함된 JSON 페이로드가 어떻게 작동하는지 결정합니다. 처리됨:
- 없음: "$type" 키의 역직렬화를 비활성화합니다.
- 자동: " $type" 키.
기본적으로 이 설정은 다음과 같이 유지되는 경우가 많습니다. 잠재적인 취약점에 대한 우려를 불러일으키는 "Auto"입니다.
TypeNameHandling.Auto를 사용한 안전한 접근 방식
수신 JSON이 특정 유형으로만 역직렬화되는 특정 시나리오에서( MyObject) 및 MyObject 또는 해당 하위 개체 내에 개체나 동적 형식의 멤버가 없습니다. 가능성이 낮습니다.
그러나 이것이 안전을 보장하는 것은 아니라는 점에 유의해야 합니다. 예상치 못한 유형이나 유형이 지정되지 않은 항목이 포함된 컬렉션은 여전히 허용될 수 있습니다. 공격 가젯의 역직렬화를 위해.
완화 및 최선책 사례
위험을 더욱 완화하려면 다음 모범 사례를 고려하십시오.
- 사용자 지정 SerializationBinder를 사용하여 수신 유형의 유효성을 검사합니다.
- 사용을 제한합니다. 개체, 동적 및 IDynamicMetaObjectProvider 유형.
- 컬렉션을 역직렬화하거나 잠재적인 공격 가젯과 기본 유형을 공유하는 값입니다.
- ISerialized를 구현하는 유형의 역직렬화를 방지하려면 DefaultContractResolver.IgnoreSerializedInterface = true를 설정하세요.
결론
Json.Net의 TypeNameHandling.Auto 설정을 활용하는 동안 취약성의 위험을 줄이려면 수신되는 JSON 데이터를 철저하게 검증하고 잠재적인 위협을 완화하기 위한 추가 보호 조치를 구현하는 것이 중요합니다.
위 내용은 Json.Net의 TypeNameHandling.Auto가 외부 JSON 역직렬화에 대한 보안 위험을 설정합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
C 언어 함수에 의해 반환 된 값 유형은 무엇입니까? 반환 값을 결정하는 것은 무엇입니까?Mar 03, 2025 pm 05:52 PM이 기사는 기본 (int, float, char 등), 파생 (배열, 포인터, 스트러크) 및 공극 유형을 포함하는 C 함수 리턴 유형에 대해 자세히 설명합니다. 컴파일러는 함수 선언과 반환 명령문을 통해 반환 유형을 결정합니다.
Gulc : C 도서관은 처음부터 구축되었습니다Mar 03, 2025 pm 05:46 PMGULC는 최소 오버 헤드, 공격적인 인라인 및 컴파일러 최적화 우선 순위를 정하는 고성능 C 라이브러리입니다. 고주파 거래 및 임베디드 시스템과 같은 성능 크리티컬 애플리케이션에 이상적 인 디자인은 단순성, 모듈을 강조합니다.
C 언어 함수 형식 문자 케이스 변환 단계Mar 03, 2025 pm 05:53 PM이 기사는 문자열 케이스 변환에 대한 C 기능을 자세히 설명합니다. ctype.h의 toupper () 및 tolower ()를 사용하고 문자열을 통한 반복 및 널 터미네이터를 처리합니다. ctype.h를 잊어 버리고 문자 그럴을 수정하는 것과 같은 일반적인 함정은 다음과 같습니다.
C 언어 기능의 정의 및 호출 규칙은 무엇이며Mar 03, 2025 pm 05:53 PM이 기사는 C 함수 선언 대 정의, 인수 통과 (값 및 포인터 별), 리턴 값 및 메모리 누출 및 유형 불일치와 같은 일반적인 함정을 설명합니다. 모듈성 및 Provi에 대한 선언의 중요성을 강조합니다.
메모리에 저장된 C 언어 함수의 반환 값은 어디에 있습니까?Mar 03, 2025 pm 05:51 PM이 기사에서는 C 기능 반환 값 저장을 검사합니다. 작은 반환 값은 일반적으로 속도 레지스터에 저장됩니다. 더 큰 값은 포인터에 메모리 (스택 또는 힙)를 사용하여 수명에 영향을 미치고 수동 메모리 관리가 필요할 수 있습니다. 직접 ACC
뚜렷한 사용 및 문구 공유Mar 03, 2025 pm 05:51 PM이 기사는 형용사 "별개", 문법 기능, 공통 문구 (예 : "구별", "뚜렷하게 다른") 및 공식 대 비공식의 미묘한 응용 프로그램의 다각적 인 사용을 분석합니다.
STL (정렬, 찾기, 변환 등)의 알고리즘을 효율적으로 사용하려면 어떻게합니까?Mar 12, 2025 pm 04:52 PM이 기사는 효율적인 STL 알고리즘 사용을 자세히 설명합니다. 데이터 구조 선택 (벡터 대 목록), 알고리즘 복잡성 분석 (예 : std :: sort vs. std :: partial_sort), 반복자 사용 및 병렬 실행을 강조합니다. 일반적인 함정과 같은
C 표준 템플릿 라이브러리 (STL)는 어떻게 작동합니까?Mar 12, 2025 pm 04:50 PM이 기사에서는 컨테이너, 반복자, 알고리즘 및 함수 인 핵심 구성 요소에 중점을 둔 C 표준 템플릿 라이브러리 (STL)에 대해 설명합니다. 일반적인 프로그래밍을 가능하게하기 위해 이러한 상호 작용, 코드 효율성 및 가독성 개선 방법에 대해 자세히 설명합니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
Dreamweaver Mac版
시각적 웹 개발 도구
PhpStorm 맥 버전
최신(2018.2.1) 전문 PHP 통합 개발 도구
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
