cari
Rumahpembangunan bahagian belakangC++Adakah Tetapan `TypeNameHandling` Json.Net Anda (Auto) Terdedah kepada Serangan Data JSON Luaran?
Adakah Tetapan `TypeNameHandling` Json.Net Anda (Auto) Terdedah kepada Serangan Data JSON Luaran?
DDD
DDD
Jan 07, 2025 pm 02:39 PM

Is Your Json.Net `TypeNameHandling` Setting (Auto) Vulnerable to External JSON Data Attacks?

Bolehkah Data JSON Luaran Menimbulkan Ancaman dengan Json.Net TypeNameHandling Ditetapkan kepada Auto?

Dalam penyahserikatan JSON, tetapan TypeNameHandling Json. Net memainkan peranan penting dalam mengurangkan potensi ancaman. Walau bagaimanapun, kebimbangan kekal mengenai keselamatan menggunakan tetapan ini dengan data JSON yang disediakan pengguna. Mari kita selidiki isu ini dan terokai potensi risiko dan langkah berjaga-jaga.

Kerentanan TypeNameHandling

Beban JSON luaran boleh dimanipulasi untuk mengandungi sifat "$type" yang menentukan jenis untuk penyahserialisasian. Jika jenis ini tidak disahkan dengan teliti, penyerang boleh mengeksploitasinya untuk membuat seketika objek penyangak yang dikenali sebagai "alat penyerang." Alat ini boleh melaksanakan tindakan berniat jahat, seperti pelaksanaan kod jauh (RCE) atau manipulasi sistem fail.

Langkah Perlindungan

Json.Net telah melaksanakan perlindungan untuk mencegah serangan sedemikian :

  • Hartanah Tidak Diketahui Kejahilan: Ia mengabaikan sifat yang tidak diketahui, menjadikan muatan JSON dengan sifat "$type" luar tidak berbahaya.
  • Keserasian Siri: Semasa penyahserilangan nilai polimorfik, ia menyemak sama ada jenis yang diselesaikan sepadan dengan yang diharapkan. Jika tidak, pengecualian akan dilemparkan.

Potensi Celah

Walaupun langkah-langkah ini, terdapat situasi tertentu di mana alat serangan mungkin masih dibina, walaupun dalam ketiadaan ahli yang tidak ditaip yang jelas:

  • Tidak ditaip Koleksi: Menyahsiri koleksi jenis yang tidak diketahui, seperti ArrayList, List, atau HashTable, boleh membenarkan alat serangan dalam item koleksi.
  • Koleksi Separa Taip: Menyahsiri koleksi yang diperoleh daripada CollectionBase, yang menyokong pengesahan jenis masa jalan, boleh mencipta tetingkap untuk alat pembinaan.
  • Jenis Pangkalan Dikongsi: Ahli polimorfik diisytiharkan sebagai antara muka atau jenis asas yang dikongsi oleh alat serangan (cth., ICollection, IDisposable) boleh memperkenalkan kelemahan.
  • Antara Muka ISerializable: Jenis yang melaksanakan ISerializable mungkin secara tidak sengaja nyahsiri ahli yang tidak ditaip, mendedahkan mereka kepada serangan.
  • Pensiri Bersyarat: Ahli yang ditandakan sebagai tidak bersiri dalam ShouldSerializeAttribute mungkin masih dinyahsiri jika terdapat dalam JSON muatan.

Pengesyoran

Untuk meminimumkan risiko, pertimbangkan pengesyoran berikut:

  • Sahkan Jenis Tidak Diketahui: Laksanakan SerializationBinder tersuai untuk menyemak jenis bersiri yang masuk dan menolak yang tidak dibenarkan.
  • Elakkan Ahli Tidak Ditaip: Pastikan data anda model tidak mengandungi ahli objek jenis, dinamik atau lain-lain yang berpotensi untuk dieksploitasi jenis.
  • Tetapkan DefaultContractResolver: Pertimbangkan untuk menetapkan DefaultContractResolver.IgnoreSerializableInterface dan DefaultContractResolver.IgnoreSerializableAttribute kepada benar.
    • Kod Disahkan Semula untuk: NonSerializable Kod: bahawa ahli yang ditandakan sebagai tidak bersiri tidak dinyahsiri dalam situasi yang tidak dijangka.
Dengan mematuhi amalan terbaik ini, anda boleh mengurangkan dengan banyak kemungkinan data JSON luaran menjejaskan sistem anda melalui Json.Net TypeNameHandling yang ditetapkan kepada Auto.

Atas ialah kandungan terperinci Adakah Tetapan `TypeNameHandling` Json.Net Anda (Auto) Terdedah kepada Serangan Data JSON Luaran?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel Berkaitan
Bagaimana Perpustakaan Templat St Standard (STL) berfungsi?Bagaimana Perpustakaan Templat St Standard (STL) berfungsi?Mar 12, 2025 pm 04:50 PM

Artikel ini menerangkan Perpustakaan Templat St Standard (STL), yang memberi tumpuan kepada komponen terasnya: bekas, iterator, algoritma, dan functors. Ia memperincikan bagaimana ini berinteraksi untuk membolehkan pengaturcaraan generik, meningkatkan kecekapan kod dan kebolehbacaan t

Bagaimanakah saya menggunakan algoritma dari STL (jenis, mencari, mengubah, dll) dengan cekap?Bagaimanakah saya menggunakan algoritma dari STL (jenis, mencari, mengubah, dll) dengan cekap?Mar 12, 2025 pm 04:52 PM

Artikel ini memperincikan penggunaan algoritma STL yang cekap dalam c. Ia menekankan pilihan struktur data (vektor vs senarai), analisis kerumitan algoritma (mis., Std :: Sort vs Std :: partial_sort), penggunaan iterator, dan pelaksanaan selari. Perangkap biasa seperti

Bagaimanakah penghantaran dinamik berfungsi di C dan bagaimana ia mempengaruhi prestasi?Bagaimanakah penghantaran dinamik berfungsi di C dan bagaimana ia mempengaruhi prestasi?Mar 17, 2025 pm 01:08 PM

Artikel ini membincangkan penghantaran dinamik dalam C, kos prestasinya, dan strategi pengoptimuman. Ia menyoroti senario di mana penghantaran dinamik memberi kesan kepada prestasi dan membandingkannya dengan penghantaran statik, menekankan perdagangan antara prestasi dan

Bagaimana saya mengendalikan pengecualian dengan berkesan di C?Bagaimana saya mengendalikan pengecualian dengan berkesan di C?Mar 12, 2025 pm 04:56 PM

Artikel ini butiran pengendalian pengecualian yang berkesan di C, meliputi percubaan, menangkap, dan membuang mekanik. Ia menekankan amalan terbaik seperti RAII, mengelakkan blok tangkapan yang tidak perlu, dan pengecualian pembalakan untuk kod yang mantap. Artikel ini juga menangani perf

Bagaimanakah saya menggunakan julat dalam C 20 untuk manipulasi data yang lebih ekspresif?Bagaimanakah saya menggunakan julat dalam C 20 untuk manipulasi data yang lebih ekspresif?Mar 17, 2025 pm 12:58 PM

C 20 julat meningkatkan manipulasi data dengan ekspresi, komposiliti, dan kecekapan. Mereka memudahkan transformasi kompleks dan mengintegrasikan ke dalam kod sedia ada untuk prestasi dan kebolehkerjaan yang lebih baik.

Bagaimanakah saya menggunakan semantik bergerak di C untuk meningkatkan prestasi?Bagaimanakah saya menggunakan semantik bergerak di C untuk meningkatkan prestasi?Mar 18, 2025 pm 03:27 PM

Artikel ini membincangkan menggunakan semantik Move dalam C untuk meningkatkan prestasi dengan mengelakkan penyalinan yang tidak perlu. Ia meliputi pelaksanaan pembina bergerak dan pengendali tugasan, menggunakan STD :: bergerak, dan mengenal pasti senario utama dan perangkap untuk Appl yang berkesan

Bagaimanakah saya menggunakan rujukan RValue dengan berkesan di C?Bagaimanakah saya menggunakan rujukan RValue dengan berkesan di C?Mar 18, 2025 pm 03:29 PM

Artikel membincangkan penggunaan rujukan RValue yang berkesan dalam C untuk bergerak semantik, pemajuan sempurna, dan pengurusan sumber, menonjolkan amalan terbaik dan penambahbaikan prestasi. (159 aksara)

Bagaimanakah pengurusan memori C berfungsi, termasuk petunjuk baru, memadam, dan pintar?Bagaimanakah pengurusan memori C berfungsi, termasuk petunjuk baru, memadam, dan pintar?Mar 17, 2025 pm 01:04 PM

Pengurusan memori C menggunakan petunjuk baru, memadam, dan pintar. Artikel ini membincangkan manual vs pengurusan automatik dan bagaimana penunjuk pintar menghalang kebocoran memori.

See all articles

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

AI Hentai Generator

AI Hentai Generator

Menjana ai hentai secara percuma.

Tunjukkan Lagi

Artikel Panas

R.E.P.O. Kristal tenaga dijelaskan dan apa yang mereka lakukan (kristal kuning)
2 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Berapa lama masa yang diperlukan untuk mengalahkan fiksyen berpecah?
1 bulan yang laluByDDD
R.E.P.O. Tetapan grafik terbaik
2 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Assassin's Creed Shadows: Penyelesaian Riddle Seashell
1 minggu yang laluByDDD
R.E.P.O. Cara Memperbaiki Audio Jika anda tidak dapat mendengar sesiapa
2 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Tunjukkan Lagi

Alat panas

Dreamweaver Mac版

Dreamweaver Mac版

Alat pembangunan web visual

mPDF

mPDF

mPDF ialah perpustakaan PHP yang boleh menjana fail PDF daripada HTML yang dikodkan UTF-8. Pengarang asal, Ian Back, menulis mPDF untuk mengeluarkan fail PDF "dengan cepat" dari tapak webnya dan mengendalikan bahasa yang berbeza. Ia lebih perlahan dan menghasilkan fail yang lebih besar apabila menggunakan fon Unicode daripada skrip asal seperti HTML2FPDF, tetapi menyokong gaya CSS dsb. dan mempunyai banyak peningkatan. Menyokong hampir semua bahasa, termasuk RTL (Arab dan Ibrani) dan CJK (Cina, Jepun dan Korea). Menyokong elemen peringkat blok bersarang (seperti P, DIV),

PhpStorm versi Mac

PhpStorm versi Mac

Alat pembangunan bersepadu PHP profesional terkini (2018.2.1).

SublimeText3 versi Cina

SublimeText3 versi Cina

Versi Cina, sangat mudah digunakan

MinGW - GNU Minimalis untuk Windows

MinGW - GNU Minimalis untuk Windows

Projek ini dalam proses untuk dipindahkan ke osdn.net/projects/mingw, anda boleh terus mengikuti kami di sana. MinGW: Port Windows asli bagi GNU Compiler Collection (GCC), perpustakaan import yang boleh diedarkan secara bebas dan fail pengepala untuk membina aplikasi Windows asli termasuk sambungan kepada masa jalan MSVC untuk menyokong fungsi C99. Semua perisian MinGW boleh dijalankan pada platform Windows 64-bit.

Tunjukkan Lagi

Topik panas

Di manakah pintu masuk log masuk untuk e-mel gmail?
7403
15
Tutorial Java
1630
14
Tutorial CakePHP
1358
52
Tutorial Laravel
1268
25
Tutorial PHP
1218
29
Tunjukkan Lagi