communauté

Apprendre

Bibliothèque d'outils

Outils d'IA

Loisirs

Français

Maison > développement back-end > C++ > Votre paramètre Json.Net `TypeNameHandling` (Auto) est-il vulnérable aux attaques de données JSON externes ?

Votre paramètre Json.Net `TypeNameHandling` (Auto) est-il vulnérable aux attaques de données JSON externes ?

DDD

Libérer： 2025-01-07 14:39:42

original

964 Les gens l'ont consulté

Is Your Json.Net `TypeNameHandling` Setting (Auto) Vulnerable to External JSON Data Attacks?

Les données JSON externes peuvent-elles constituer une menace avec Json.Net TypeNameHandling défini sur Auto ?

Dans la désérialisation JSON, le paramètre TypeNameHandling de Json. Net joue un rôle crucial dans l’atténuation des menaces potentielles. Cependant, des inquiétudes subsistent concernant la sécurité de l'utilisation de ce paramètre avec les données JSON fournies par l'utilisateur. Examinons le problème et explorons les risques et précautions potentiels.

Les vulnérabilités de TypeNameHandling

Les charges utiles JSON externes peuvent être manipulées pour contenir des propriétés "$type" qui spécifient types pour la désérialisation. Si ces types ne sont pas soigneusement validés, les attaquants peuvent les exploiter pour instancier des objets malveillants appelés « gadgets d'attaque ». Ces gadgets peuvent exécuter des actions malveillantes, telles que l'exécution de code à distance (RCE) ou la manipulation du système de fichiers.

Mesures de protection

Json.Net a mis en place des mesures de protection pour empêcher de telles attaques :

Ignorance des propriétés inconnues : Il ignore les propriétés inconnues, rendant les charges utiles JSON avec des propriétés "$type" étrangères inoffensives.
Compatibilité de sérialisation : Lors de la désérialisation de valeur polymorphe, il vérifie si le type résolu correspond à celui attendu. Dans le cas contraire, une exception est levée.

Filles potentielles

Malgré ces mesures, il existe certaines situations dans lesquelles un gadget d'attaque peut encore être construit, même dans l'absence de membres évidents non typés :

Collections non typées : La désérialisation de collections de types inconnus, telles que ArrayList, List
ou HashTable, peut permettre des attaques de gadgets au sein des éléments de collection.
Collections semi-typées : Désérialisation de collections dérivées de CollectionBase , qui prennent en charge la validation du type d'exécution, peuvent créer une fenêtre pour la construction de gadgets.

Base partagée Types : Les membres polymorphes déclarés comme interfaces ou types de base partagés par des gadgets d'attaque (par exemple, ICollection, IDisposable) peuvent introduire des vulnérabilités.

Interface ISerializing : Les types implémentant ISerializing peuvent involontairement désérialiser des éléments non typés. membres, les exposant à attaque.

Sérialisation conditionnelle :Les membres marqués comme non sérialisés dans ShouldSerializeAttribute peuvent toujours être désérialisés s'ils sont présents dans la charge utile JSON.

Recommandations

Pour minimiser les risques, tenez compte des recommandations suivantes :
- Valider les types inconnus : Implémentez un SerializationBinder personnalisé pour vérifier les types sérialisés entrants et rejeter ceux non autorisés.
- Évitez les membres non typés : Assurez-vous que vos données le modèle ne contient pas de membres de type objet, dynamique ou autre potentiellement exploitable types.
- Définissez DefaultContractResolver : Envisagez de définir DefaultContractResolver.IgnoreSerializingInterface et DefaultContractResolver.IgnoreSerializingAttribute sur true.
- Code de révision pour les membres non sérialisés : Vérifier que les membres marqués comme non sérialisés ne sont pas désérialisées dans des situations inattendues.
En adhérant à ces bonnes pratiques, vous pouvez réduire considérablement la probabilité que des données JSON externes compromettent votre système grâce à Json.Net TypeNameHandling défini sur Auto.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source：php.cn

Article précédent：TypeNameHandling.Auto de Json.Net définit-il un risque de sécurité pour la désérialisation JSON externe ? Article suivant：Comment exécuter des tâches en arrière-plan dans les applications WPF sans geler l'interface utilisateur ?

Déclaration de ce site Web

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
- Comment puis-je encoder en toute sécurité les noms d'utilisateur en C # pour la création de chemin d'URL?
  
  2025-01-25 22:03:10
- Comment citer correctement les identifiants et les valeurs dans MySQL?
  
  2025-01-25 22:02:10
- Comment puis-je coder en toute sécurité les noms d'utilisateur dans les chemins C # pour éviter les exceptions 'caractères illégaux' sur Linux et Windows?
  
  2025-01-25 21:56:10
- Comment puis-je coder efficacement URL différents jeux de caractères à l'aide de c #?
  
  2025-01-25 21:53:11
- Simple, double ou backticks dans MySQL : quand dois-je utiliser lequel ?
  
  2025-01-25 21:48:11
- Comment C # Gérer le codage des URL et les caractères illégaux dans les URL?
  
  2025-01-25 21:47:09
- Comment puis-je effectuer un codage d'URL en C # en utilisant différentes méthodes d'encodage?
  
  2025-01-25 21:43:16
- Comment utiliser correctement les guillemets simples, les guillemets doubles et les backticks dans les requêtes MySQL ?
  
  2025-01-25 21:42:12
- Le contournement de l'injection SQL peut-il `mysql_real_escape_string ()` dans des conditions de jeu de caractères spécifiques?
  
  2025-01-25 21:31:10
- Comment le contournement de l'injection SQL peut-il `mysql_real_escape_string ()`?
  
  2025-01-25 21:27:10
Derniers numéros

function_exists() ne peut pas déterminer la fonction personnalisée Function test () {return true;} if (function_exists ('test')) {echo "le test est une ...

Depuis 2024-04-29 11:01:01

0

3

2579

Comment afficher la version mobile de Google Chrome Bonjour professeur, comment puis-je changer Google Chrome en version mobile ?

Depuis 2024-04-23 00:22:19

0

11

2717

La fenêtre enfant exploite la fenêtre parent, mais la sortie ne répond pas. Les deux premières phrases sont exécutables, mais la dernière ne peut pas être implémentée...

Depuis 2024-04-19 15:37:47

0

1

2304

Il n'y a aucune sortie dans la fenêtre parent document.onclick = function(){ window.opener.document.write('Je suis la sortie de la fenêt...

Depuis 2024-04-18 23:52:34

0

1

2159

Où sont les didacticiels sur la cartographie mentale CSS ? Didacticiel

Depuis 2024-04-16 10:10:18

0

0

2269
Rubriques connexes
Plus>
Recommandations populaires
Comment résoudre l'erreur de syntaxe C++ : « expression primaire attendue avant le jeton » ; »

Comment résoudre l'erreur de syntaxe C++ : « expression primaire attendue avant », jeton » ?

Erreur de compilation C++ : identifiant non déclaré, comment la résoudre ?

Erreur C++ : identifiant introuvable, que faire ?

Erreur C++ : variable non initialisée, comment la résoudre ?
Tutoriels populaires
Plus>
Tutoriels associés

Recommandations populaires

Derniers cours

Le dernier didacticiel vidéo ThinkPHP 5.1 en première mondiale (60 jours pour devenir un expert PHP en ligne)

1429603

Premier tutoriel d'introduction à PHP : Apprenez PHP en une semaine

4281428

Tutoriel vidéo JAVA pour débutants

2596778

Tutoriel vidéo d'introduction base zéro à l'apprentissage de Python de Little Turtle

511486

Tutoriel d'introduction PHP base zéro

869784

Le dernier didacticiel vidéo ThinkPHP 5.1 en première mondiale (60 jours pour devenir un expert PHP en ligne)

1429603 temps d'étude

Tutoriel vidéo JAVA pour débutants

2596778 temps d'étude

Tutoriel vidéo d'introduction base zéro à l'apprentissage de Python de Little Turtle

511486 temps d'étude

Introduction rapide au développement web front-end

216426 temps d'étude

Maîtrisez les didacticiels vidéo PS à partir de zéro

904959 temps d'étude

[Web front-end] Démarrage rapide de Node.js

8465 temps d'étude

Collection complète de cours full-stack de développement Web étranger

6780 temps d'étude

Aller au langage pratique GraphQL

5636 temps d'étude

Le maître du ventilateur de 550 W apprend JavaScript à partir de zéro, étape par étape

755 temps d'étude

Le maître Python Mosh, un débutant sans aucune connaissance de base peut commencer en 6 heures

28890 temps d'étude
Derniers téléchargements
Plus>
effets Web

Code source du site Web

Matériel du site Web

Modèle frontal

[bouton de formulaire] Code de contact du formulaire de message d'entreprise jQuery

[Effets spéciaux du joueur] Effets de lecture de boîte à musique HTML5 MP3

[Navigation dans les menus] Effets spéciaux du menu de navigation d'animation de particules cool HTML5

[bouton de formulaire] Code d'édition par glisser-déposer du formulaire visuel jQuery

[Effets spéciaux du joueur] Code du lecteur de musique Kugou imitation VUE.JS

[effets spéciaux HTML5] Jeu de boîte de poussée HTML5 classique

[Effets spéciaux d'image] défilement jQuery pour ajouter ou réduire des effets d'image

[Effets d'album photo] Effet de zoom de survol de la couverture de l'album personnel CSS3

[Modèle frontal] Modèle de site Web d'entreprise de services de nettoyage et de réparation de décoration intérieure

[Modèle frontal] Modèle de page de guide de CV personnel aux couleurs fraîches

[Modèle frontal] Modèle Web de CV de travail créatif de concepteur

[Modèle frontal] Modèle de site Web d'entreprise de construction d'ingénierie moderne

[Modèle frontal] Modèle HTML5 réactif pour les établissements de services éducatifs

[Modèle frontal] Modèle de site Web de centre commercial de boutique de livres électroniques en ligne

[Modèle frontal] La technologie informatique résout le modèle de site Web d'entreprise Internet

[Modèle frontal] Modèle de site Web de service de trading de devises de style violet

[Matériau PNG] Matériau vectoriel d'éléments d'été mignons (EPS+PNG)

[Matériau PNG] Matériel vectoriel de quatre badges de graduation rouges 2023 (AI+EPS+PNG)

[image de bannière] Oiseau chantant et chariot rempli de fleurs design matériel vectoriel de bannière de printemps (AI + EPS)

[Matériau PNG] Matériau vectoriel de chapeau de graduation doré (EPS+PNG)

[Matériau PNG] Matériel vectoriel d'icône de montagne de style noir et blanc (EPS+PNG)

[Matériau PNG] Matériel vectoriel de silhouette de super-héros (EPS+PNG) avec des capes de couleurs différentes et des poses différentes

[image de bannière] Matériel vectoriel de bannière Arbor Day de style plat (AI + EPS)

[Matériau PNG] Matériel vectoriel de neuf bulles de discussion explosives de style bande dessinée (EPS+PNG)

[Modèle frontal] Modèle de site Web d'entreprise de services de nettoyage et de réparation de décoration intérieure

[Modèle frontal] Modèle de page de guide de CV personnel aux couleurs fraîches

[Modèle frontal] Modèle Web de CV de travail créatif de concepteur

[Modèle frontal] Modèle de site Web d'entreprise de construction d'ingénierie moderne

[Modèle frontal] Modèle HTML5 réactif pour les établissements de services éducatifs

[Modèle frontal] Modèle de site Web de centre commercial de boutique de livres électroniques en ligne

[Modèle frontal] La technologie informatique résout le modèle de site Web d'entreprise Internet

[Modèle frontal] Modèle de site Web de service de trading de devises de style violet
Formation PHP en ligne sur le bien-être public，Aidez les apprenants PHP à grandir rapidement！

À propos de nous Clause de non-responsabilité Sitemap

© php.cn All rights reserved