Json.Net `TypeNameHandling` 설정(자동)이 외부 JSON 데이터 공격에 취약합니까?
Json.Net TypeNameHandling을 Auto로 설정하면 외부 JSON 데이터가 위협을 일으킬 수 있나요?
JSON 역직렬화에서 Json의 TypeNameHandling 설정입니다. Net은 잠재적인 위협을 완화하는 데 중요한 역할을 합니다. 그러나 사용자가 제공한 JSON 데이터와 함께 이 설정을 사용할 때의 안전성에 대한 우려는 여전히 남아 있습니다. 문제를 자세히 조사하고 잠재적인 위험과 주의 사항을 살펴보겠습니다.
TypeNameHandling의 취약점
외부 JSON 페이로드는 다음을 지정하는 "$type" 속성을 포함하도록 조작될 수 있습니다. 역직렬화 유형. 이러한 유형의 유효성을 주의 깊게 검증하지 않으면 공격자는 이를 악용하여 "공격 가젯"으로 알려진 불량 개체를 인스턴스화할 수 있습니다. 이러한 가젯은 RCE(원격 코드 실행) 또는 파일 시스템 조작과 같은 악의적인 작업을 실행할 수 있습니다.
보호 조치
Json.Net은 이러한 공격을 방지하기 위한 보호 장치를 구현했습니다. :
- 알 수 없는 속성 무시: 알 수 없는 속성을 무시합니다. 속성을 사용하여 외부 "$type" 속성이 있는 JSON 페이로드를 무해하게 렌더링합니다.
- 직렬화 호환성: 다형성 값 역직렬화 중에 확인된 유형이 예상 유형과 일치하는지 확인합니다. 그렇지 않은 경우 예외가 발생합니다.
잠재적 허점
이러한 조치에도 불구하고 공격 도구가 여전히 구축될 수 있는 특정 상황이 있습니다. 명백히 유형이 지정되지 않은 멤버가 없는 경우:
- Untyped 컬렉션: ArrayList, List
- 세미 유형 컬렉션: 런타임 유형 유효성 검사를 지원하는 CollectionBase에서 파생된 컬렉션을 역직렬화하면 가젯용 창을 생성할 수 있습니다.
- 공유 기본 유형: 공격 가젯(예: ICollection, IDisposable)이 공유하는 인터페이스 또는 기본 유형으로 선언된 다형성 멤버는 취약점을 유발할 수 있습니다.
- ISerialized 인터페이스: ISerialize를 구현하는 유형은 의도치 않게 역직렬화될 수 있습니다. 유형이 지정되지 않은 멤버는 공격에 노출됩니다.
- 조건부 직렬화: ShouldSerializeAttribute에서 직렬화되지 않은 것으로 표시된 멤버는 JSON에 있는 경우 여전히 역직렬화될 수 있습니다. 페이로드.
권장사항
위험을 최소화하려면 다음 권장사항을 고려하세요.
- 알 수 없는 유형 검증: 사용자 정의 SerializationBinder를 구현하여 들어오는 직렬화된 유형을 확인하고 승인되지 않은 유형을 거부합니다.
- 유형이 지정되지 않은 멤버 방지: 데이터가 다음과 같은지 확인하세요. 모델에는 객체, 동적 또는 기타 잠재적으로 악용 가능한 유형의 멤버가 포함되어 있지 않습니다. 유형.
- DefaultContractResolver 설정: DefaultContractResolver.IgnoreSerializedInterface 및 DefaultContractResolver.IgnoreSerializedAttribute를 true로 설정하는 것이 좋습니다.
- 직렬화되지 않은 멤버에 대한 코드 검토: 확인 직렬화되지 않은 것으로 표시된 멤버 예상치 못한 상황에서도 역직렬화되지 않습니다.
이러한 모범 사례를 준수하면 Json.Net TypeNameHandling을 자동으로 설정하여 외부 JSON 데이터가 시스템을 손상시킬 가능성을 크게 줄일 수 있습니다.
위 내용은 Json.Net `TypeNameHandling` 설정(자동)이 외부 JSON 데이터 공격에 취약합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
C# vs. C : 역사, 진화 및 미래 전망
Apr 19, 2025 am 12:07 AM
C#과 C의 역사와 진화는 독특하며 미래의 전망도 다릅니다. 1.C는 1983 년 Bjarnestroustrup에 의해 발명되어 객체 지향 프로그래밍을 C 언어에 소개했습니다. Evolution 프로세스에는 자동 키워드 소개 및 Lambda Expressions 소개 C 11, C 20 도입 개념 및 코 루틴과 같은 여러 표준화가 포함되며 향후 성능 및 시스템 수준 프로그래밍에 중점을 둘 것입니다. 2.C#은 2000 년 Microsoft에 의해 출시되었으며 C와 Java의 장점을 결합하여 진화는 단순성과 생산성에 중점을 둡니다. 예를 들어, C#2.0은 제네릭과 C#5.0 도입 된 비동기 프로그래밍을 소개했으며, 이는 향후 개발자의 생산성 및 클라우드 컴퓨팅에 중점을 둘 것입니다.
C 및 XML의 미래 : 신흥 동향 및 기술
Apr 10, 2025 am 09:28 AM
C 및 XML의 미래 개발 동향은 다음과 같습니다. 1) C는 프로그래밍 효율성 및 보안을 개선하기 위해 C 20 및 C 23 표준을 통해 모듈, 개념 및 코 루틴과 같은 새로운 기능을 소개합니다. 2) XML은 데이터 교환 및 구성 파일에서 중요한 위치를 계속 차지하지만 JSON 및 YAML의 문제에 직면하게 될 것이며 XMLSCHEMA1.1 및 XPATH 3.1의 개선과 같이보다 간결하고 쉽게 구문 분석하는 방향으로 발전 할 것입니다.
C의 지속적인 사용 : 지구력의 이유
Apr 11, 2025 am 12:02 AM
C 지속적인 사용 이유에는 고성능, 광범위한 응용 및 진화 특성이 포함됩니다. 1) 고효율 성능 : C는 메모리 및 하드웨어를 직접 조작하여 시스템 프로그래밍 및 고성능 컴퓨팅에서 훌륭하게 수행합니다. 2) 널리 사용 : 게임 개발, 임베디드 시스템 등의 분야에서의 빛나기.
C# vs. C : 학습 곡선 및 개발자 경험
Apr 18, 2025 am 12:13 AM
C# 및 C 및 개발자 경험의 학습 곡선에는 상당한 차이가 있습니다. 1) C#의 학습 곡선은 비교적 평평하며 빠른 개발 및 기업 수준의 응용 프로그램에 적합합니다. 2) C의 학습 곡선은 가파르고 고성능 및 저수준 제어 시나리오에 적합합니다.
C 및 XML : 관계와 지원 탐색
Apr 21, 2025 am 12:02 AM
C는 XML과 타사 라이브러리 (예 : TinyXML, Pugixml, Xerces-C)와 상호 작용합니다. 1) 라이브러리를 사용하여 XML 파일을 구문 분석하고 C- 처리 가능한 데이터 구조로 변환하십시오. 2) XML을 생성 할 때 C 데이터 구조를 XML 형식으로 변환하십시오. 3) 실제 애플리케이션에서 XML은 종종 구성 파일 및 데이터 교환에 사용되어 개발 효율성을 향상시킵니다.
현대 C 디자인 패턴 : 확장 가능하고 유지 관리 가능한 소프트웨어 구축
Apr 09, 2025 am 12:06 AM
최신 C 설계 모델은 C 11 이상의 새로운 기능을 사용하여보다 유연하고 효율적인 소프트웨어를 구축 할 수 있습니다. 1) Lambda Expressions 및 STD :: 함수를 사용하여 관찰자 패턴을 단순화하십시오. 2) 모바일 의미와 완벽한 전달을 통해 성능을 최적화하십시오. 3) 지능형 포인터는 유형 안전 및 자원 관리를 보장합니다.
C 커뮤니티 : 자원, 지원 및 개발
Apr 13, 2025 am 12:01 AM
C 학습자와 개발자는 StackoverFlow, Reddit의 R/CPP 커뮤니티, Coursera 및 EDX 코스, GitHub의 오픈 소스 프로젝트, 전문 컨설팅 서비스 및 CPPCon에서 리소스와 지원을받을 수 있습니다. 1. StackoverFlow는 기술적 인 질문에 대한 답변을 제공합니다. 2. Reddit의 R/CPP 커뮤니티는 최신 뉴스를 공유합니다. 3. Coursera와 Edx는 공식적인 C 과정을 제공합니다. 4. LLVM 및 부스트 기술 향상과 같은 GitHub의 오픈 소스 프로젝트; 5. JetBrains 및 Perforce와 같은 전문 컨설팅 서비스는 기술 지원을 제공합니다. 6. CPPCON 및 기타 회의는 경력을 돕습니다
과대 광고 : 오늘 C의 관련성을 평가합니다
Apr 14, 2025 am 12:01 AM
C는 여전히 현대 프로그래밍과 관련이 있습니다. 1) 고성능 및 직접 하드웨어 작동 기능은 게임 개발, 임베디드 시스템 및 고성능 컴퓨팅 분야에서 첫 번째 선택이됩니다. 2) 스마트 포인터 및 템플릿 프로그래밍과 같은 풍부한 프로그래밍 패러다임 및 현대적인 기능은 유연성과 효율성을 향상시킵니다. 학습 곡선은 가파르지만 강력한 기능은 오늘날의 프로그래밍 생태계에서 여전히 중요합니다.
