Json.Net TypeNameHandling을 Auto로 설정하면 외부 JSON 데이터가 위협을 일으킬 수 있나요?
JSON 역직렬화에서 Json의 TypeNameHandling 설정입니다. Net은 잠재적인 위협을 완화하는 데 중요한 역할을 합니다. 그러나 사용자가 제공한 JSON 데이터와 함께 이 설정을 사용할 때의 안전성에 대한 우려는 여전히 남아 있습니다. 문제를 자세히 조사하고 잠재적인 위험과 주의 사항을 살펴보겠습니다.
TypeNameHandling의 취약점
외부 JSON 페이로드는 다음을 지정하는 "$type" 속성을 포함하도록 조작될 수 있습니다. 역직렬화 유형. 이러한 유형의 유효성을 주의 깊게 검증하지 않으면 공격자는 이를 악용하여 "공격 가젯"으로 알려진 불량 개체를 인스턴스화할 수 있습니다. 이러한 가젯은 RCE(원격 코드 실행) 또는 파일 시스템 조작과 같은 악의적인 작업을 실행할 수 있습니다.
보호 조치
Json.Net은 이러한 공격을 방지하기 위한 보호 장치를 구현했습니다. :
- 알 수 없는 속성 무시: 알 수 없는 속성을 무시합니다. 속성을 사용하여 외부 "$type" 속성이 있는 JSON 페이로드를 무해하게 렌더링합니다.
- 직렬화 호환성: 다형성 값 역직렬화 중에 확인된 유형이 예상 유형과 일치하는지 확인합니다. 그렇지 않은 경우 예외가 발생합니다.
잠재적 허점
이러한 조치에도 불구하고 공격 도구가 여전히 구축될 수 있는 특정 상황이 있습니다. 명백히 유형이 지정되지 않은 멤버가 없는 경우:
- Untyped 컬렉션: ArrayList, List
- 세미 유형 컬렉션: 런타임 유형 유효성 검사를 지원하는 CollectionBase에서 파생된 컬렉션을 역직렬화하면 가젯용 창을 생성할 수 있습니다.
- 공유 기본 유형: 공격 가젯(예: ICollection, IDisposable)이 공유하는 인터페이스 또는 기본 유형으로 선언된 다형성 멤버는 취약점을 유발할 수 있습니다.
- ISerialized 인터페이스: ISerialize를 구현하는 유형은 의도치 않게 역직렬화될 수 있습니다. 유형이 지정되지 않은 멤버는 공격에 노출됩니다.
- 조건부 직렬화: ShouldSerializeAttribute에서 직렬화되지 않은 것으로 표시된 멤버는 JSON에 있는 경우 여전히 역직렬화될 수 있습니다. 페이로드.
권장사항
위험을 최소화하려면 다음 권장사항을 고려하세요.
- 알 수 없는 유형 검증: 사용자 정의 SerializationBinder를 구현하여 들어오는 직렬화된 유형을 확인하고 승인되지 않은 유형을 거부합니다.
- 유형이 지정되지 않은 멤버 방지: 데이터가 다음과 같은지 확인하세요. 모델에는 객체, 동적 또는 기타 잠재적으로 악용 가능한 유형의 멤버가 포함되어 있지 않습니다. 유형.
- DefaultContractResolver 설정: DefaultContractResolver.IgnoreSerializedInterface 및 DefaultContractResolver.IgnoreSerializedAttribute를 true로 설정하는 것이 좋습니다.
- 직렬화되지 않은 멤버에 대한 코드 검토: 확인 직렬화되지 않은 것으로 표시된 멤버 예상치 못한 상황에서도 역직렬화되지 않습니다.
이러한 모범 사례를 준수하면 Json.Net TypeNameHandling을 자동으로 설정하여 외부 JSON 데이터가 시스템을 손상시킬 가능성을 크게 줄일 수 있습니다.
위 내용은 Json.Net `TypeNameHandling` 설정(자동)이 외부 JSON 데이터 공격에 취약합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
C 표준 템플릿 라이브러리 (STL)는 어떻게 작동합니까?Mar 12, 2025 pm 04:50 PM이 기사에서는 컨테이너, 반복자, 알고리즘 및 함수 인 핵심 구성 요소에 중점을 둔 C 표준 템플릿 라이브러리 (STL)에 대해 설명합니다. 일반적인 프로그래밍을 가능하게하기 위해 이러한 상호 작용, 코드 효율성 및 가독성 개선 방법에 대해 자세히 설명합니다.
STL (정렬, 찾기, 변환 등)의 알고리즘을 효율적으로 사용하려면 어떻게합니까?Mar 12, 2025 pm 04:52 PM이 기사는 효율적인 STL 알고리즘 사용을 자세히 설명합니다. 데이터 구조 선택 (벡터 대 목록), 알고리즘 복잡성 분석 (예 : std :: sort vs. std :: partial_sort), 반복자 사용 및 병렬 실행을 강조합니다. 일반적인 함정과 같은
동적 파견은 C에서 어떻게 작동하며 성능에 어떤 영향을 미칩니 까?Mar 17, 2025 pm 01:08 PM이 기사는 C의 동적 파견, 성능 비용 및 최적화 전략에 대해 설명합니다. 동적 파견이 성능에 영향을 미치는 시나리오를 강조하고이를 정적 파견과 비교하여 성능과 성능 간의 트레이드 오프를 강조합니다.
보다 표현적인 데이터 조작을 위해 C 20의 범위를 어떻게 사용합니까?Mar 17, 2025 pm 12:58 PMC 20 범위는 표현성, 합성 가능성 및 효율성으로 데이터 조작을 향상시킵니다. 더 나은 성능과 유지 관리를 위해 복잡한 변환을 단순화하고 기존 코드베이스에 통합합니다.
C에서 예외를 효과적으로 처리하려면 어떻게해야합니까?Mar 12, 2025 pm 04:56 PM이 기사는 C에서 효과적인 예외 처리를 자세히 설명하고, 시도, 캐치 및 던지기 메커니즘을 다룹니다. RAII와 같은 모범 사례, 불필요한 캐치 블록을 피하고 강력한 코드에 대한 예외를 기록합니다. 이 기사는 또한 Perf를 다룹니다
성능을 향상시키기 위해 C의 Move Semantics를 어떻게 사용합니까?Mar 18, 2025 pm 03:27 PM이 기사는 C에서 Move Semantics를 사용하여 불필요한 복사를 피함으로써 성능을 향상시키는 것에 대해 논의합니다. STD :: MOVE를 사용하여 이동 생성자 및 할당 연산자 구현을 다루고 효과적인 APPL을위한 주요 시나리오 및 함정을 식별합니다.
C에서 RValue 참조를 효과적으로 사용하려면 어떻게합니까?Mar 18, 2025 pm 03:29 PM기사는 Move Semantics, Perfect Forwarding 및 Resource Management에 대한 C에서 RValue 참조의 효과적인 사용에 대해 논의하여 모범 사례 및 성능 향상을 강조합니다 (159 자).
새로운, 삭제 및 스마트 포인터를 포함하여 C '의 메모리 관리는 어떻게 작동합니까?Mar 17, 2025 pm 01:04 PMC 메모리 관리는 새로운, 삭제 및 스마트 포인터를 사용합니다. 이 기사는 매뉴얼 대 자동화 된 관리 및 스마트 포인터가 메모리 누출을 방지하는 방법에 대해 설명합니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
SublimeText3 영어 버전
권장 사항: Win 버전, 코드 프롬프트 지원!
Eclipse용 SAP NetWeaver 서버 어댑터
Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.
WebStorm Mac 버전
유용한 JavaScript 개발 도구
SublimeText3 Linux 새 버전
SublimeText3 Linux 최신 버전
MinGW - Windows용 미니멀리스트 GNU
이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.
