


La désérialisation JSON automatique avec « TypeNameHandling.Auto » de Json.Net est-elle sécurisée, même en limitant la désérialisation à un type spécifique ?
Le JSON externe peut-il être vulnérable en raison de la gestion automatique du nom de type Json.Net ?
Problème :
Dans les applications de sites Web où les utilisateurs téléchargent des objets JSON personnalisés, il est impératif d'être conscient des menaces potentielles découlant du type JSON automatisé. désérialisation. La question est de savoir si la désérialisation automatique de type est sensible aux vulnérabilités si le seul type désérialisé est un type spécifique (par exemple, MyObject) et qu'aucun des membres de MyObject n'a le type System.Object ou dynamique.
Réponse :
Bien que le respect de ces conditions réduit considérablement le risque, il ne garantit pas une protection complète. Le paramètre TypeNameHandling de Json.Net, lorsqu'il est défini sur Auto, peut potentiellement créer des objets basés sur les informations « $type » même lorsqu'aucun champ correspondant n'existe dans MyObject.
Explication détaillée :
Les attaques ciblant Json.Net exploitent le paramètre TypeNameHandling pour construire des « gadgets d'attaque » – des objets conçus pour compromettre le système récepteur. Les mécanismes de protection de Json.Net incluent l'ignorance des propriétés inconnues et la vérification de la compatibilité des types. Cependant, il existe des scénarios dans lesquels un gadget d'attaque peut être construit même sans aucun membre non typé évident :
- Désérialisation de collections non typées (par exemple, ArrayList, List
- Désérialisation de collections semi-typées (par exemple, CollectionBase)
- Désérialisation des types qui implémentent ISerializing (par exemple, Exception)
- Désérialisation des types avec sérialisation conditionnelle des membres (par exemple, objet public tempData; public bool ShouldSerializeTempData() { return false; })
Recommandations :
- Faites preuve de prudence : TypeNameHandling doit être utilisé avec prudence lors de la désérialisation d'un JSON externe, et un paramètre personnalisé SerializationBinder est recommandé pour la validation.
- Examiner les données Modèle : Assurez-vous qu'aucun type de membre n'est objet, dynamique ou compatible avec les gadgets d'attaque.
- Envisagez le classeur de sérialisation : Implémentez un SerializationBinder personnalisé pour contrôler strictement les types qui sont désérialisés.
En conclusion, même si les conditions prévues atténuent considérablement les risques, il est important de noter qu'elles ne garantissent pas une sécurité totale. Le paramètre TypeNameHandling Auto de Json.Net peut encore potentiellement faciliter la création de gadgets d'attaque, nécessitant des précautions supplémentaires telles que des classeurs de sérialisation personnalisés.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Outils d'IA chauds

Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool
Images de déshabillage gratuites

Clothoff.io
Dissolvant de vêtements AI

Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !

Article chaud

Outils chauds

Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise
Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP

Dreamweaver CS6
Outils de développement Web visuel

SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Sujets chauds











L'histoire et l'évolution de C # et C sont uniques, et les perspectives d'avenir sont également différentes. 1.C a été inventé par Bjarnestrousstrup en 1983 pour introduire une programmation orientée objet dans le langage C. Son processus d'évolution comprend plusieurs normalisations, telles que C 11, introduisant des mots clés automobiles et des expressions de lambda, C 20 introduisant les concepts et les coroutines, et se concentrera sur les performances et la programmation au niveau du système à l'avenir. 2.C # a été publié par Microsoft en 2000. Combinant les avantages de C et Java, son évolution se concentre sur la simplicité et la productivité. Par exemple, C # 2.0 a introduit les génériques et C # 5.0 a introduit la programmation asynchrone, qui se concentrera sur la productivité et le cloud computing des développeurs à l'avenir.

Il existe des différences significatives dans les courbes d'apprentissage de l'expérience C # et C et du développeur. 1) La courbe d'apprentissage de C # est relativement plate et convient au développement rapide et aux applications au niveau de l'entreprise. 2) La courbe d'apprentissage de C est raide et convient aux scénarios de contrôle haute performance et de bas niveau.

C Les apprenants et les développeurs peuvent obtenir des ressources et le soutien de Stackoverflow, des cours R / CPP de Reddit, Coursera et EDX, des projets open source sur GitHub, des services de conseil professionnel et CPPCON. 1. StackOverflow fournit des réponses aux questions techniques; 2. La communauté R / CPP de Reddit partage les dernières nouvelles; 3. Coursera et Edx fournissent des cours de C officiels; 4. Projets open source sur GitHub tels que LLVM et Boost Améliorer les compétences; 5. Les services de conseil professionnel tels que Jetbrains et Perforce fournissent un support technique; 6. CPPCON et d'autres conférences aident les carrières

C interagit avec XML via des bibliothèques tierces (telles que TinyXML, PUGIXML, XERCES-C). 1) Utilisez la bibliothèque pour analyser les fichiers XML et les convertir en structures de données propices à C. 2) Lors de la génération de XML, convertissez la structure des données C au format XML. 3) Dans les applications pratiques, le XML est souvent utilisé pour les fichiers de configuration et l'échange de données afin d'améliorer l'efficacité du développement.

L'application de l'analyse statique en C comprend principalement la découverte de problèmes de gestion de la mémoire, la vérification des erreurs de logique de code et l'amélioration de la sécurité du code. 1) L'analyse statique peut identifier des problèmes tels que les fuites de mémoire, les doubles versions et les pointeurs non initialisés. 2) Il peut détecter les variables inutilisées, le code mort et les contradictions logiques. 3) Les outils d'analyse statique tels que la couverture peuvent détecter le débordement de tampon, le débordement entier et les appels API dangereux pour améliorer la sécurité du code.

C a toujours une pertinence importante dans la programmation moderne. 1) Les capacités de fonctionnement matériel et directes en font le premier choix dans les domaines du développement de jeux, des systèmes intégrés et de l'informatique haute performance. 2) Les paradigmes de programmation riches et les fonctionnalités modernes telles que les pointeurs intelligents et la programmation de modèles améliorent sa flexibilité et son efficacité. Bien que la courbe d'apprentissage soit raide, ses capacités puissantes le rendent toujours important dans l'écosystème de programmation d'aujourd'hui.

L'utilisation de la bibliothèque Chrono en C peut vous permettre de contrôler plus précisément les intervalles de temps et de temps. Explorons le charme de cette bibliothèque. La bibliothèque Chrono de C fait partie de la bibliothèque standard, qui fournit une façon moderne de gérer les intervalles de temps et de temps. Pour les programmeurs qui ont souffert de temps et ctime, Chrono est sans aucun doute une aubaine. Il améliore non seulement la lisibilité et la maintenabilité du code, mais offre également une précision et une flexibilité plus élevées. Commençons par les bases. La bibliothèque Chrono comprend principalement les composants clés suivants: std :: chrono :: system_clock: représente l'horloge système, utilisée pour obtenir l'heure actuelle. std :: chron

L'avenir de C se concentrera sur l'informatique parallèle, la sécurité, la modularisation et l'apprentissage AI / Machine: 1) L'informatique parallèle sera améliorée par des fonctionnalités telles que les coroutines; 2) La sécurité sera améliorée par le biais de mécanismes de vérification et de gestion de la mémoire plus stricts; 3) La modulation simplifiera l'organisation et la compilation du code; 4) L'IA et l'apprentissage automatique inviteront C à s'adapter à de nouveaux besoins, tels que l'informatique numérique et le support de programmation GPU.
