cari
Rumahpembangunan bahagian belakangC++Adakah TypeNameHandling.Auto Json.Net Menetapkan Risiko Keselamatan untuk Penyahserikatan JSON Luaran?
Adakah TypeNameHandling.Auto Json.Net Menetapkan Risiko Keselamatan untuk Penyahserikatan JSON Luaran?
Susan Sarandon
Susan Sarandon
Jan 07, 2025 pm 02:27 PM

Is Json.Net's TypeNameHandling.Auto Setting a Security Risk for External JSON Deserialization?

Adakah JSON Luaran Terdedah Kerana Json.Net TypeNameHandling Auto?

Dalam bidang aplikasi web, pengendalian permintaan JSON adalah amalan biasa . Walau bagaimanapun, kebimbangan telah dibangkitkan mengenai potensi ancaman yang ditimbulkan oleh penyahserilangan jenis automatik menggunakan rangka kerja JSON seperti Json.Net.

Memahami Masalah

Apabila muatan JSON dinyahsiri tanpa pengesahan yang mencukupi, terutamanya apabila sifat dinamik atau jenis objek hadir, penyerang menjadi mungkin untuk membekalkan muatan yang mengandungi kunci "$type". Kunci ini boleh menentukan alat serangan, yang apabila dinyahsiri, boleh melaksanakan kod arbitrari pada sistem penerima.

TypeNameHandling and Vulnerability

Json.Net menyediakan tetapan TypeNameHandling yang menentukan cara muatan JSON yang mengandungi kunci "$type". dikendalikan:

  • Tiada: Melumpuhkan penyahserikatan kekunci "$type".
  • Auto: Secara automatik menyelesaikan jenis yang ditentukan oleh " kekunci $type".

Secara lalai, tetapan ini selalunya dibiarkan sebagai "Auto", yang menimbulkan kebimbangan tentang potensi kelemahan.

Pendekatan Selamat dengan TypeNameHandling.Auto

Dalam senario khusus di mana JSON yang masuk hanya dinyahsiri kepada jenis tertentu ( MyObject) dan tiada objek atau ahli ditaip dinamik dalam MyObject atau subobjeknya, ia adalah tidak mungkin kelemahan wujud.

Walau bagaimanapun, adalah penting untuk ambil perhatian bahawa ini bukan jaminan keselamatan. Jenis yang tidak dijangka atau koleksi yang mengandungi item yang tidak ditaip masih boleh membenarkan untuk penyahserikatan alat serangan.

Mitigasi dan Terbaik Amalan

Untuk mengurangkan lagi risiko, pertimbangkan amalan terbaik berikut:

  • Gunakan SerializationBinder tersuai untuk mengesahkan jenis masuk.
  • Hadkan penggunaan jenis objek, dinamik dan IDynamicMetaObjectProvider.
  • Berhati-hati apabila menyahsiri koleksi atau nilai yang berkongsi jenis asas dengan alat serangan yang berpotensi.
  • Tetapkan DefaultContractResolver.IgnoreSerializableInterface = benar untuk mengelakkan penyahserikatan jenis yang melaksanakan ISerializable.

Kesimpulan

Sambil memanfaatkan Tetapan TypeNameHandling.Auto Json.Net boleh mengurangkan risiko kerentanan, adalah penting untuk mengesahkan data JSON yang masuk secara menyeluruh dan melaksanakan langkah perlindungan tambahan untuk mengurangkan potensi ancaman.

Atas ialah kandungan terperinci Adakah TypeNameHandling.Auto Json.Net Menetapkan Risiko Keselamatan untuk Penyahserikatan JSON Luaran?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel Berkaitan
Apakah jenis nilai yang dikembalikan oleh fungsi bahasa C? Apa yang menentukan nilai pulangan?Apakah jenis nilai yang dikembalikan oleh fungsi bahasa C? Apa yang menentukan nilai pulangan?Mar 03, 2025 pm 05:52 PM

Butiran artikel ini C jenis pulangan fungsi, merangkumi asas (int, float, char, dan lain -lain), diperolehi (tatasusunan, petunjuk, struktur), dan jenis kekosongan. Pengkompil menentukan jenis pulangan melalui pengisytiharan fungsi dan pernyataan pulangan, menguatkuasakan

Gulc: Perpustakaan C dibina dari awalGulc: Perpustakaan C dibina dari awalMar 03, 2025 pm 05:46 PM

GULC adalah perpustakaan C berprestasi tinggi yang mengutamakan overhead yang minimum, inlining agresif, dan pengoptimuman pengkompil. Sesuai untuk aplikasi kritikal prestasi seperti perdagangan frekuensi tinggi dan sistem tertanam, reka bentuknya menekankan kesederhanaan, modul

Langkah Format Fungsi Fungsi C Langkah Penukaran KesLangkah Format Fungsi Fungsi C Langkah Penukaran KesMar 03, 2025 pm 05:53 PM

Butiran artikel ini C berfungsi untuk penukaran kes rentetan. Ia menerangkan menggunakan ToUpper () dan Tolower () dari CType.H, meleleh melalui rentetan, dan mengendalikan terminator null. Perangkap biasa seperti melupakan ctype.h dan mengubahsuai literal rentetan adalah

Apakah definisi dan peraturan panggilan fungsi bahasa C dan apakah ituApakah definisi dan peraturan panggilan fungsi bahasa C dan apakah ituMar 03, 2025 pm 05:53 PM

Artikel ini menerangkan perisytiharan fungsi C vs definisi, argumen lulus (dengan nilai dan penunjuk), nilai pulangan, dan perangkap umum seperti kebocoran memori dan jenis ketidakcocokan. Ia menekankan pentingnya pengisytiharan modularity dan provi

Di manakah nilai pulangan fungsi bahasa C yang disimpan dalam ingatan?Di manakah nilai pulangan fungsi bahasa C yang disimpan dalam ingatan?Mar 03, 2025 pm 05:51 PM

Artikel ini mengkaji fungsi penyimpanan nilai pulangan C. Nilai pulangan kecil biasanya disimpan dalam daftar untuk kelajuan; Nilai yang lebih besar boleh menggunakan petunjuk untuk memori (timbunan atau timbunan), memberi kesan kepada seumur hidup dan memerlukan pengurusan memori manual. Secara langsung acc

Penggunaan dan perkongsian frasa yang berbezaPenggunaan dan perkongsian frasa yang berbezaMar 03, 2025 pm 05:51 PM

Artikel ini menganalisis kegunaan pelbagai kata sifat "berbeza," meneroka fungsi tatabahasa, frasa umum (mis., "Berbeza," "berbeza"), dan aplikasi bernuansa dalam formal vs tidak formal

Bagaimanakah saya menggunakan algoritma dari STL (jenis, mencari, mengubah, dll) dengan cekap?Bagaimanakah saya menggunakan algoritma dari STL (jenis, mencari, mengubah, dll) dengan cekap?Mar 12, 2025 pm 04:52 PM

Artikel ini memperincikan penggunaan algoritma STL yang cekap dalam c. Ia menekankan pilihan struktur data (vektor vs senarai), analisis kerumitan algoritma (mis., Std :: Sort vs Std :: partial_sort), penggunaan iterator, dan pelaksanaan selari. Perangkap biasa seperti

Bagaimana Perpustakaan Templat St Standard (STL) berfungsi?Bagaimana Perpustakaan Templat St Standard (STL) berfungsi?Mar 12, 2025 pm 04:50 PM

Artikel ini menerangkan Perpustakaan Templat St Standard (STL), yang memberi tumpuan kepada komponen terasnya: bekas, iterator, algoritma, dan functors. Ia memperincikan bagaimana ini berinteraksi untuk membolehkan pengaturcaraan generik, meningkatkan kecekapan kod dan kebolehbacaan t

See all articles

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

AI Hentai Generator

AI Hentai Generator

Menjana ai hentai secara percuma.

Tunjukkan Lagi

Artikel Panas

R.E.P.O. Kristal tenaga dijelaskan dan apa yang mereka lakukan (kristal kuning)
2 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Repo: Cara menghidupkan semula rakan sepasukan
4 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Adventure: Cara mendapatkan biji gergasi
3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Berapa lama masa yang diperlukan untuk mengalahkan fiksyen berpecah?
3 minggu yang laluByDDD
R.E.P.O. Simpan Fail Lokasi: Di ​​manakah & bagaimana untuk melindunginya?
3 minggu yang laluByDDD
Tunjukkan Lagi

Alat panas

Hantar Studio 13.0.1

Hantar Studio 13.0.1

Persekitaran pembangunan bersepadu PHP yang berkuasa

SublimeText3 versi Cina

SublimeText3 versi Cina

Versi Cina, sangat mudah digunakan

SublimeText3 Linux versi baharu

SublimeText3 Linux versi baharu

SublimeText3 Linux versi terkini

Notepad++7.3.1

Notepad++7.3.1

Editor kod yang mudah digunakan dan percuma

Dreamweaver CS6

Dreamweaver CS6

Alat pembangunan web visual

Tunjukkan Lagi

Topik panas

Di manakah pintu masuk log masuk untuk e-mel gmail?
7316
9
Tutorial Java
1625
14
Tutorial CakePHP
1349
46
Tutorial Laravel
1261
25
Tutorial PHP
1208
29
Tunjukkan Lagi