如何使用 Json.Net 的 TypeNameHandling 保護來自外部來源的 JSON 反序列化？

由於Json.Net TypeNameHandling Auto 導致的外部JSON 漏洞

Json.Net 的TypeNameHandling 自動設定在從不受信任的JSON 反序列化時可能會引入安全風險來源。但是，可以透過遵守特定準則來減輕這些風險。

類型安全與攻擊小工具

利用 TypeNameHandling 的攻擊依賴於建構執行惡意操作的「攻擊小工具」在實例化或初始化時。 Json.Net 透過驗證反序列化類型與預期類型的相容性來防範這些攻擊。

漏洞條件

目標中沒有明確物件或動態成員等級降低了風險，但並不能完全保證安全。在以下情況下可能會出現潛在的漏洞：

• 非類型化集合：反序列化非類型化集合（例如List
• CollectionBase 實作： CollectionBase 類型只能在執行時驗證專案類型，從而建立潛在的漏洞視窗。
• 共用基本型別/介面：與攻擊小工具共用基本型別或介面的型別可以繼承漏洞。
• ISerialized 介面： 實現 ISerialized 的類型的反序列化可能允許非類型化成員反序列化。
• 條件序列化： 使用 ShouldSerializeAttribute 方法標記的成員即使未明確序列化也可以反序列化。

降低風險

為了最大限度地降低風險，必須遵循這些建議：

• 盡可能使用TypeNameHandling.None 。
• 實作自訂 SerializationBinder 來驗證傳入類型並防止意外類型的反序列化。
• 考慮忽略 [ Serialized] 屬性，透過將 DefaultContractResolver.IgnoreSerializedAttribute 設為true。
• 確保所有不得反序列化的物件成員都使用傳回 false 的 ShouldSerializeAttribute 方法進行標記。

遵守這些準則，即使在TypeNameHandling auto 的存在同時顯著降低了攻擊的風險。

以上是如何使用 Json.Net 的 TypeNameHandling 保護來自外部來源的 JSON 反序列化？的詳細內容。更多資訊請關注PHP中文網其他相關文章！