masyarakat

Belajar

Perpustakaan Alatan

Alat AI

Masa lapang

Melayu

Rumah > pembangunan bahagian belakang > C++ > Adakah Tetapan `TypeNameHandling` Json.Net Anda (Auto) Terdedah kepada Serangan Data JSON Luaran?

Adakah Tetapan `TypeNameHandling` Json.Net Anda (Auto) Terdedah kepada Serangan Data JSON Luaran?

DDD

Lepaskan： 2025-01-07 14:39:42

asal

956 orang telah melayarinya

Is Your Json.Net `TypeNameHandling` Setting (Auto) Vulnerable to External JSON Data Attacks?

Bolehkah Data JSON Luaran Menimbulkan Ancaman dengan Json.Net TypeNameHandling Ditetapkan kepada Auto?

Dalam penyahserikatan JSON, tetapan TypeNameHandling Json. Net memainkan peranan penting dalam mengurangkan potensi ancaman. Walau bagaimanapun, kebimbangan kekal mengenai keselamatan menggunakan tetapan ini dengan data JSON yang disediakan pengguna. Mari kita selidiki isu ini dan terokai potensi risiko dan langkah berjaga-jaga.

Kerentanan TypeNameHandling

Beban JSON luaran boleh dimanipulasi untuk mengandungi sifat "$type" yang menentukan jenis untuk penyahserialisasian. Jika jenis ini tidak disahkan dengan teliti, penyerang boleh mengeksploitasinya untuk membuat seketika objek penyangak yang dikenali sebagai "alat penyerang." Alat ini boleh melaksanakan tindakan berniat jahat, seperti pelaksanaan kod jauh (RCE) atau manipulasi sistem fail.

Langkah Perlindungan

Json.Net telah melaksanakan perlindungan untuk mencegah serangan sedemikian :

Hartanah Tidak Diketahui Kejahilan: Ia mengabaikan sifat yang tidak diketahui, menjadikan muatan JSON dengan sifat "$type" luar tidak berbahaya.
Keserasian Siri: Semasa penyahserilangan nilai polimorfik, ia menyemak sama ada jenis yang diselesaikan sepadan dengan yang diharapkan. Jika tidak, pengecualian akan dilemparkan.

Potensi Celah

Walaupun langkah-langkah ini, terdapat situasi tertentu di mana alat serangan mungkin masih dibina, walaupun dalam ketiadaan ahli yang tidak ditaip yang jelas:

Tidak ditaip Koleksi: Menyahsiri koleksi jenis yang tidak diketahui, seperti ArrayList, List
, atau HashTable, boleh membenarkan alat serangan dalam item koleksi.
Koleksi Separa Taip: Menyahsiri koleksi yang diperoleh daripada CollectionBase, yang menyokong pengesahan jenis masa jalan, boleh mencipta tetingkap untuk alat pembinaan.

Jenis Pangkalan Dikongsi: Ahli polimorfik diisytiharkan sebagai antara muka atau jenis asas yang dikongsi oleh alat serangan (cth., ICollection, IDisposable) boleh memperkenalkan kelemahan.

Antara Muka ISerializable: Jenis yang melaksanakan ISerializable mungkin secara tidak sengaja nyahsiri ahli yang tidak ditaip, mendedahkan mereka kepada serangan.

Pensiri Bersyarat: Ahli yang ditandakan sebagai tidak bersiri dalam ShouldSerializeAttribute mungkin masih dinyahsiri jika terdapat dalam JSON muatan.

Pengesyoran

Untuk meminimumkan risiko, pertimbangkan pengesyoran berikut:
- Sahkan Jenis Tidak Diketahui: Laksanakan SerializationBinder tersuai untuk menyemak jenis bersiri yang masuk dan menolak yang tidak dibenarkan.
- Elakkan Ahli Tidak Ditaip: Pastikan data anda model tidak mengandungi ahli objek jenis, dinamik atau lain-lain yang berpotensi untuk dieksploitasi jenis.
- Tetapkan DefaultContractResolver: Pertimbangkan untuk menetapkan DefaultContractResolver.IgnoreSerializableInterface dan DefaultContractResolver.IgnoreSerializableAttribute kepada benar.
Dengan mematuhi amalan terbaik ini, anda boleh mengurangkan dengan banyak kemungkinan data JSON luaran menjejaskan sistem anda melalui Json.Net TypeNameHandling yang ditetapkan kepada Auto.
Atas ialah kandungan terperinci Adakah Tetapan `TypeNameHandling` Json.Net Anda (Auto) Terdedah kepada Serangan Data JSON Luaran?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber：php.cn

Artikel sebelumnya：Adakah TypeNameHandling.Auto Json.Net Menetapkan Risiko Keselamatan untuk Penyahserikatan JSON Luaran? Artikel seterusnya：Bagaimana untuk Melaksanakan Tugas Latar Belakang dalam Aplikasi WPF Tanpa Membekukan UI?

Kenyataan Laman Web ini

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel terbaru oleh pengarang
- Bagaimanakah Saya Boleh Mengalih Keluar Nilai Pendua daripada Output STRING_AGG dalam Pelayan SQL?
  
  2025-01-24 06:57:09
- Mengapa Kelakuan Rentetan C# Nampaknya Bercanggah dengan Sifat Jenis Rujukannya?
  
  2025-01-24 06:56:10
- Bagaimanakah Saya Boleh Menggunakan STRING_AGG Pelayan SQL untuk Mendapatkan Nilai Berbeza dan Rentetan Bercantumnya?
  
  2025-01-24 06:51:13
- Bagaimana untuk Menghantar dan Menerima Permintaan dan Respons SOAP dalam C#?
  
  2025-01-24 06:47:15
- Bagaimanakah Saya Boleh Mendapatkan Hasil Berbeza Menggunakan STRING_AGG dalam SQL Server 2017?
  
  2025-01-24 06:46:10
- Bagaimana untuk Mencipta Perkhidmatan Windows C# untuk Menghantar Permintaan SOAP dan Menerima Respons?
  
  2025-01-24 06:41:08
- Bagaimana untuk Menambah Hari ke Tarikh dalam MySQL Menggunakan DATE_ADD()?
  
  2025-01-24 06:37:09
- Bagaimana untuk Menghantar dan Menerima Permintaan SOAP dalam C#?
  
  2025-01-24 06:36:10
- Bagaimanakah Saya Boleh Mengira Kejadian Bersyarat dengan Cekap dalam Pertanyaan SQL?
  
  2025-01-24 06:32:13
- Properties vs. Methods dalam C#: Bilakah Anda Harus Menggunakan Properties Sebaliknya?
  
  2025-01-24 06:31:09
Isu terkini

function_exists() tidak boleh menentukan fungsi tersuai Ujian fungsi () {return true;} jika (function_exists ('test')) {echo "test is functio...

daripada 2024-04-29 11:01:01

0

3

2551

Bagaimana untuk memaparkan versi mudah alih Google Chrome Hello cikgu, bagaimana saya boleh menukar Google Chrome kepada versi mudah alih?

daripada 2024-04-23 00:22:19

0

11

2695

Tetingkap anak mengendalikan tetingkap induk, tetapi output tidak bertindak balas. Dua ayat pertama boleh dilaksanakan, tetapi ayat terakhir tidak boleh dilaksanakan.

daripada 2024-04-19 15:37:47

0

1

2285

Tiada output dalam tetingkap induk document.onclick = function(){ window.opener.document.write('Saya adalah output tetingkap ...

daripada 2024-04-18 23:52:34

0

1

2143

Di manakah perisian kursus tentang pemetaan minda CSS? Perisian kursus

daripada 2024-04-16 10:10:18

0

0

2251
Topik-topik yang berkaitan
Lagi>
Cadangan popular
Bagaimana untuk menyelesaikan ralat sintaks C++: 'ungkapan utama yang dijangkakan sebelum ';'?

Bagaimana untuk menyelesaikan ralat sintaks C++: 'ungkapan utama yang dijangka sebelum ',' token'?

Ralat kompilasi C++: pengecam yang tidak diisytiharkan, bagaimana untuk menyelesaikannya?

Ralat C++: pengecam tidak ditemui, apakah yang perlu saya lakukan?

Ralat C++: pembolehubah tidak dimulakan, bagaimana untuk menyelesaikannya?
Tutorial Popular
Lagi>
Tutorial berkaitan

Cadangan popular

Kursus terkini

Tutorial video perdana dunia ThinkPHP 5.1 terkini (60 hari untuk menjadi kursus latihan dalam talian pakar PHP)

1429421

Tutorial pengenalan PHP satu: Belajar PHP dalam satu minggu

4280962

Tutorial Video Permulaan JAVA

2594424

Pengenalan berasaskan sifar Little Turtle untuk mempelajari tutorial video Python

511343

Tutorial pengenalan berasaskan sifar PHP

869527

Tutorial video perdana dunia ThinkPHP 5.1 terkini (60 hari untuk menjadi kursus latihan dalam talian pakar PHP)

1429421 kali belajar

Tutorial Video Permulaan JAVA

2594424 kali belajar

Pengenalan berasaskan sifar Little Turtle untuk mempelajari tutorial video Python

511343 kali belajar

Pengenalan pantas kepada pembangunan bahagian hadapan web

216415 kali belajar

Kuasai tutorial video PS dari awal

903679 kali belajar

[Web front-end] Permulaan pantas Node.js

8444 kali belajar

Koleksi lengkap kursus timbunan penuh pembangunan web asing

6758 kali belajar

Gunakan GraphQL praktikal bahasa

5613 kali belajar

Master kipas 550W mempelajari JavaScript dari awal langkah demi langkah

754 kali belajar

Sarjana Python Mosh, seorang pemula dengan pengetahuan asas sifar boleh bermula dalam masa 6 jam

28766 kali belajar
Muat turun terkini
Lagi>
kesan web

Kod sumber laman web

Bahan laman web

Templat hujung hadapan

[butang borang] kod hubungan borang mesej perusahaan jQuery

[Kesan khas pemain] Kesan main balik kotak muzik MP3 HTML5

[Navigasi menu] HTML5 kesan khas menu navigasi animasi zarah sejuk

[butang borang] jQuery bentuk visual seret dan lepas kod penyuntingan

[Kesan khas pemain] Kod pemain muzik Kugou tiruan VUE.JS

[kesan khas html5] Permainan kotak menolak html5 klasik

[Gambar kesan khas] menatal jQuery untuk menambah atau mengurangkan kesan imej

[Kesan album foto] Kesan zum hover kulit album peribadi CSS3

[Templat bahagian hadapan] Templat Laman Web Syarikat Pembersihan dan Pembaikan Hiasan Rumah

[Templat bahagian hadapan] Templat halaman panduan resume peribadi berwarna segar

[Templat bahagian hadapan] Templat Web Resume Kerja Kreatif Pereka

[Templat bahagian hadapan] Templat laman web syarikat pembinaan kejuruteraan moden

[Templat bahagian hadapan] Templat HTML5 responsif untuk institusi perkhidmatan pendidikan

[Templat bahagian hadapan] Templat laman web pusat membeli-belah kedai e-buku dalam talian

[Templat bahagian hadapan] Teknologi IT menyelesaikan templat tapak web syarikat Internet

[Templat bahagian hadapan] Templat laman web perkhidmatan perdagangan pertukaran asing gaya ungu

[bahan PNG] Bahan vektor elemen musim panas yang comel (EPS+PNG)

[bahan PNG] Empat bahan vektor lencana tamat pengajian 2023 merah (AI+EPS+PNG)

[gambar sepanduk] Burung nyanyian dan troli diisi dengan bahan vektor sepanduk musim bunga reka bentuk bunga (AI+EPS)

[bahan PNG] Bahan vektor topi pengijazahan emas (EPS+PNG)

[bahan PNG] Bahan vektor ikon gunung gaya hitam putih (EPS+PNG)

[bahan PNG] Bahan vektor siluet superhero (EPS+PNG) dengan jubah warna yang berbeza dan pose yang berbeza

[gambar sepanduk] Bahan vektor sepanduk Hari Arbor gaya rata (AI+EPS)

[bahan PNG] Sembilan bahan vektor buih sembang meletup gaya komik (EPS+PNG)

[Templat bahagian hadapan] Templat Laman Web Syarikat Pembersihan dan Pembaikan Hiasan Rumah

[Templat bahagian hadapan] Templat halaman panduan resume peribadi berwarna segar

[Templat bahagian hadapan] Templat Web Resume Kerja Kreatif Pereka

[Templat bahagian hadapan] Templat laman web syarikat pembinaan kejuruteraan moden

[Templat bahagian hadapan] Templat HTML5 responsif untuk institusi perkhidmatan pendidikan

[Templat bahagian hadapan] Templat laman web pusat membeli-belah kedai e-buku dalam talian

[Templat bahagian hadapan] Teknologi IT menyelesaikan templat tapak web syarikat Internet

[Templat bahagian hadapan] Templat laman web perkhidmatan perdagangan pertukaran asing gaya ungu
Latihan PHP dalam talian kebajikan awam，Bantu pelajar PHP berkembang dengan cepat！

Tentang kita Penafian Sitemap

© php.cn All rights reserved