Json.Net의 TypeNameHandling.Auto가 외부 JSON 역직렬화에 대한 보안 위험을 설정합니까?-C++-php.cn

집

백엔드 개발

C++

Json.Net의 TypeNameHandling.Auto가 외부 JSON 역직렬화에 대한 보안 위험을 설정합니까?

Susan Sarandon

Jan 07, 2025 pm 02:27 PM

Is Json.Net's TypeNameHandling.Auto Setting a Security Risk for External JSON Deserialization?

Json.Net TypeNameHandling Auto로 인해 외부 JSON이 취약합니까?

웹 애플리케이션 영역에서는 JSON 요청을 처리하는 것이 일반적인 관행입니다. . 그러나 Json.Net과 같은 JSON 프레임워크를 사용하는 자동 유형 역직렬화로 인한 잠재적인 위협에 대한 우려가 제기되었습니다.

문제 이해

JSON 페이로드가 역직렬화되는 경우 적절한 검증 없이, 특히 동적 또는 개체 유형 속성이 있는 경우 공격자가 "$type" 키가 포함된 악성 페이로드를 제공할 수 있습니다. 이 키는 역직렬화될 때 수신 시스템에서 임의의 코드를 실행할 수 있는 공격 가젯을 지정할 수 있습니다.

TypeNameHandling 및 Vulnerability

Json.Net은 다음과 같은 TypeNameHandling 설정을 제공합니다. "$type" 키가 포함된 JSON 페이로드가 어떻게 작동하는지 결정합니다. 처리됨:

없음: "$type" 키의 역직렬화를 비활성화합니다.
자동: " $type" 키.

기본적으로 이 설정은 다음과 같이 유지되는 경우가 많습니다. 잠재적인 취약점에 대한 우려를 불러일으키는 "Auto"입니다.

TypeNameHandling.Auto를 사용한 안전한 접근 방식

수신 JSON이 특정 유형으로만 역직렬화되는 특정 시나리오에서( MyObject) 및 MyObject 또는 해당 하위 개체 내에 개체나 동적 형식의 멤버가 없습니다. 가능성이 낮습니다.

그러나 이것이 안전을 보장하는 것은 아니라는 점에 유의해야 합니다. 예상치 못한 유형이나 유형이 지정되지 않은 항목이 포함된 컬렉션은 여전히 허용될 수 있습니다. 공격 가젯의 역직렬화를 위해.

완화 및 최선책 사례

위험을 더욱 완화하려면 다음 모범 사례를 고려하십시오.

사용자 지정 SerializationBinder를 사용하여 수신 유형의 유효성을 검사합니다.
사용을 제한합니다. 개체, 동적 및 IDynamicMetaObjectProvider 유형.
컬렉션을 역직렬화하거나 잠재적인 공격 가젯과 기본 유형을 공유하는 값입니다.
ISerialized를 구현하는 유형의 역직렬화를 방지하려면 DefaultContractResolver.IgnoreSerializedInterface = true를 설정하세요.

결론

Json.Net의 TypeNameHandling.Auto 설정을 활용하는 동안 취약성의 위험을 줄이려면 수신되는 JSON 데이터를 철저하게 검증하고 잠재적인 위협을 완화하기 위한 추가 보호 조치를 구현하는 것이 중요합니다.

위 내용은 Json.Net의 TypeNameHandling.Auto가 외부 JSON 역직렬화에 대한 보안 위험을 설정합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

C : Deep 다이빙의 다형성 마스터May 14, 2025 am 12:13 AM

C에서 다형성을 마스터하면 코드 유연성과 유지 관리가 크게 향상 될 수 있습니다. 1) 다형성은 다른 유형의 물체를 동일한 기본 유형의 물체로 취급 할 수 있도록합니다. 2) 상속 및 가상 기능을 통해 런타임 다형성을 구현합니다. 3) 다형성은 기존 클래스를 수정하지 않고 코드 확장을 지원합니다. 4) CRTP를 사용하여 컴파일 타임 다형성을 구현하면 성능이 향상 될 수 있습니다. 5) 스마트 포인터는 자원 관리를 돕습니다. 6) 기본 클래스에는 가상 파괴자가 있어야합니다. 7) 성능 최적화는 먼저 코드 분석이 필요합니다.

C 파괴자 대 쓰레기 수집가 : 차이점은 무엇입니까?May 13, 2025 pm 03:25 PM

C Destructorsprovideprepisecontroloverresourcemanagement, whilegarbagecollectorsautomatememormanorymanagementbutintroction.c 파괴자 : 1) 허용 customcleanupactionswhenobjectsaredestroyed, 2) ggooutofscop을 방출하는 것은 즉시 방출

C 및 XML : 프로젝트의 데이터 통합May 10, 2025 am 12:18 AM

1) Pugixml 또는 TinyXML 라이브러리를 사용하여 XML 파일을 구문 분석하고 생성하는 데 도움이 될 수 있습니다. 2) 구문 분석을위한 DOM 또는 SAX 방법을 선택하고, 3) 중첩 노드 및 다단계 속성을 처리, 4) 디버깅 기술 및 모범 사례를 사용하여 성능을 최적화하십시오.

C에서 XML 사용 : 라이브러리 및 도구에 대한 안내서May 09, 2025 am 12:16 AM

XML은 데이터, 특히 구성 파일, 데이터 저장 및 네트워크 통신에서 데이터를 구조화하는 편리한 방법을 제공하기 때문에 C에서 사용됩니다. 1) TinyXML, PugixML, RapidXML과 같은 적절한 라이브러리를 선택하고 프로젝트 요구에 따라 결정하십시오. 2) XML 파싱 및 생성의 두 가지 방법을 이해하십시오. DOM은 자주 액세스 및 수정에 적합하며 SAX는 큰 파일 또는 스트리밍 데이터에 적합합니다. 3) 성능을 최적화 할 때 TinyXML은 작은 파일에 적합하며 PugixML은 메모리와 속도에서 잘 작동하며 RapidXML은 큰 파일을 처리하는 데 탁월합니다.

C# 및 C : 다른 패러다임 탐색May 08, 2025 am 12:06 AM

C#과 C의 주요 차이점은 메모리 관리, 다형성 구현 및 성능 최적화입니다. 1) C#은 쓰레기 수집기를 사용하여 메모리를 자동으로 관리하는 반면 C는 수동으로 관리해야합니다. 2) C#은 인터페이스 및 가상 방법을 통해 다형성을 실현하고 C는 가상 함수와 순수한 가상 함수를 사용합니다. 3) C#의 성능 최적화는 구조 및 병렬 프로그래밍에 따라 다르며 C는 인라인 함수 및 멀티 스레딩을 통해 구현됩니다.

C XML 파싱 : 기술 및 모범 사례May 07, 2025 am 12:06 AM

DOM 및 SAX 방법은 XML 데이터를 C에서 구문 분석하는 데 사용될 수 있습니다. 1) DOM 파싱은 XML로드를 메모리로, 작은 파일에 적합하지만 많은 메모리를 차지할 수 있습니다. 2) Sax Parsing은 이벤트 중심이며 큰 파일에 적합하지만 무작위로 액세스 할 수는 없습니다. 올바른 방법을 선택하고 코드를 최적화하면 효율성이 향상 될 수 있습니다.

특정 도메인의 C : 거점 탐색May 06, 2025 am 12:08 AM

C는 고성능과 유연성으로 인해 게임 개발, 임베디드 시스템, 금융 거래 및 과학 컴퓨팅 분야에서 널리 사용됩니다. 1) 게임 개발에서 C는 효율적인 그래픽 렌더링 및 실시간 컴퓨팅에 사용됩니다. 2) 임베디드 시스템에서 C의 메모리 관리 및 하드웨어 제어 기능이 첫 번째 선택이됩니다. 3) 금융 거래 분야에서 C의 고성능은 실시간 컴퓨팅의 요구를 충족시킵니다. 4) 과학 컴퓨팅에서 C의 효율적인 알고리즘 구현 및 데이터 처리 기능이 완전히 반영됩니다.