typename handling
JSON 직렬화 및 파생화 과정에서 특히 외부 데이터 소스를 처리 할 때 TypEname Handling을 신중하게 처리해야합니다.
typename handling.all은 심도 화 과정에서 유형의 추론을 용이하게하지만 보안 위험도 있습니다. 신뢰할 수없는 JSON에서 장치가있는 경우이 설정을 사용하면 NewTonsoft JSON이 지정된 메타 데이터에 지정된 인스턴스를 만들 수 있습니다.
잠재적 인 위험 :
공격자는 $ 유형 속성이 포함 된 악의적 인 JSON을 보낼 수 있습니다. 이 유형은 쓰레기 재활용 중에 피해자의 시스템에서 파일을 자동으로 삭제하여 파일 무결성을 위험에 빠뜨릴 수 있습니다.
예 :
다음과 같은 악의적 인 JSON 유효 부하를 고려하십시오
적절한 보안 조치 없이이 JSON을 식별하면 인스턴스화 된 온도 수집 유형을 사용하고 지정된 매개 변수에 따라 파일을 삭제하려고합니다.
조치 완화 :
이 위험을 줄이기 위해 TypEname Handling.all Back -Accativentization을 사용할 때 맞춤형 서비스 -검증 유형을 사용하여 전송 된 유형을 확인해야합니다. 이 바인더는 인스턴스를 구성하기 전에 참조 된 유형의 안전성을 확인할 수 있습니다.
위 내용은 사막화 공격을 방지하기 위해 NewTonsoft JSON에서 TypEname Handling을 안전하게 처리하려면 어떻게해야합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!