您的 Json.Net `TypeNameHandling` 设置（自动）是否容易受到外部 JSON 数据攻击？

Json.Net TypeNameHandling 设置为 Auto 会造成威胁吗？

在 JSON 反序列化中，Json.Net 的 TypeNameHandling 设置。网络在减轻潜在威胁方面发挥着至关重要的作用。但是，对于将此设置与用户提供的 JSON 数据一起使用的安全性仍然存在担忧。让我们深入研究这个问题，探讨潜在的风险和预防措施。

TypeNameHandling 的漏洞

外部 JSON 负载可以被操纵以包含指定的“$type”属性用于反序列化的类型。如果这些类型没有经过仔细验证，攻击者就可以利用它们来实例化称为“攻击小工具”的恶意对象。这些小工具可以执行恶意操作，例如远程代码执行 (RCE) 或文件系统操纵。

保护措施

Json.Net 已实施防护措施来防止此类攻击:

• 未知属性无知：它忽略未知属性，使具有无关“$type”属性的 JSON 有效负载无害。
• 序列化兼容性： 在多态值反序列化期间，它会检查解析的类型是否与预期类型匹配。如果没有，则会抛出异常。

潜在漏洞

尽管采取了这些措施，但在某些情况下仍然可能构建攻击小工具，即使在缺少明显的无类型成员：

• 无类型集合：反序列化未知类型的集合，例如 ArrayList、List
• 半类型集合：反序列化从 CollectionBase 派生的集合，支持运行时类型验证，可以为小工具创建窗口
• 共享基类型：声明为攻击小工具共享的接口或基类型的多态成员（例如 ICollection、IDisposable）可能会引入漏洞。
• ISerialized 接口： 实现 ISerialized 的类型可能会无意中反序列化非类型化
• 条件序列化： 在 ShouldSerializeAttribute 中标记为非序列化的成员如果存在于 JSON 负载中，仍可能被反序列化。

建议

为了最大限度地降低风险，考虑以下建议：

• 验证未知类型：实现自定义 SerializationBinder 来检查传入的序列化类型并拒绝未经授权的类型。
• 避免无类型成员：确保您的数据模型不包含对象、动态或其他潜在可利用类型的成员类型。
• 设置 DefaultContractResolver： 考虑将 DefaultContractResolver.IgnoreSerializedInterface 和 DefaultContractResolver.IgnoreSerializedAttribute 设置为 true。
• 查看非序列化成员的代码： 验证该成员标记为非序列化在意外情况下不会被反序列化。

通过遵循这些最佳实践，您可以通过将 Json.Net TypeNameHandling 设置为 Auto 来大大降低外部 JSON 数据损害您的系统的可能性。

以上是您的 Json.Net `TypeNameHandling` 设置（自动）是否容易受到外部 JSON 数据攻击？的详细内容。更多信息请关注PHP中文网其他相关文章！