首页 后端开发 C++ 即使将反序列化限制为特定类型,使用 Json.Net 的'TypeNameHandling.Auto”自动 JSON 反序列化是否安全?

即使将反序列化限制为特定类型,使用 Json.Net 的'TypeNameHandling.Auto”自动 JSON 反序列化是否安全?

Jan 07, 2025 pm 02:16 PM

Is Automatic JSON Deserialization with Json.Net's `TypeNameHandling.Auto` Secure, Even When Limiting Deserialization to a Specific Type?

外部 JSON 会因为 Json.Net TypeNameHandling Auto 而变得脆弱吗?

问题:

在用户上传自定义 JSON 对象的网站应用程序中,必须意识到出现的潜在威胁来自自动 JSON 类型反序列化。问题是,如果反序列化的唯一类型是特定类型(例如 MyObject)并且 MyObject 的所有成员都不具有 System.Object 或动态类型,那么自动类型反序列化是否容易受到漏洞的影响。

答案:

虽然遵守这些条件可以显着降低风险,但并不能保证完全保护。 Json.Net 的 TypeNameHandling 设置为 Auto 时,即使 MyObject 中不存在相应字段,也有可能根据“$type”信息创建对象。

详细说明:

针对 Json.Net 的攻击利用 TypeNameHandling 设置来构造“攻击小工具”——旨在危害接收系统的对象。 Json.Net 的保护机制包括忽略未知属性和检查类型兼容性。然而,在某些情况下,即使没有任何明显的非类型化成员,也可以构造攻击小工具:

  • 非类型化集合的反序列化(例如 ArrayList、List
  • 半类型集合(例如, CollectionBase)
  • 实现 ISerialized 的类型的反序列化(例如 Exception)
  • 具有成员条件序列化的类型的反序列化(例如 public object tempData; public bool ShouldSerializeTempData() { return false; } })

建议:

  • 谨慎使用:反序列化外部 JSON 时应谨慎使用 TypeNameHandling,并且自定义SerializationBinder 推荐用于验证。
  • 检查数据模型:确保没有成员类型是对象、动态或与攻击小工具兼容。
  • 考虑序列化绑定器:实现自定义 SerializationBinder 来严格控制哪些类型

总之,虽然所提供的条件可以显着降低风险,但值得注意的是,它并不能保证完全的安全性。 Json.Net 的 TypeNameHandling Auto 设置仍然可能有利于攻击小工具的创建,因此需要采取额外的预防措施,例如自定义序列化绑定器。

以上是即使将反序列化限制为特定类型,使用 Json.Net 的'TypeNameHandling.Auto”自动 JSON 反序列化是否安全?的详细内容。更多信息请关注PHP中文网其他相关文章!

本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

Video Face Swap

Video Face Swap

使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

<🎜>:泡泡胶模拟器无穷大 - 如何获取和使用皇家钥匙
4 周前 By 尊渡假赌尊渡假赌尊渡假赌
北端:融合系统,解释
4 周前 By 尊渡假赌尊渡假赌尊渡假赌
Mandragora:巫婆树的耳语 - 如何解锁抓钩
3 周前 By 尊渡假赌尊渡假赌尊渡假赌

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

禅工作室 13.0.1

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

热门话题

Java教程
1670
14
CakePHP 教程
1428
52
Laravel 教程
1329
25
PHP教程
1274
29
C# 教程
1256
24
C#与C:历史,进化和未来前景 C#与C:历史,进化和未来前景 Apr 19, 2025 am 12:07 AM

C#和C 的历史与演变各有特色,未来前景也不同。1.C 由BjarneStroustrup在1983年发明,旨在将面向对象编程引入C语言,其演变历程包括多次标准化,如C 11引入auto关键字和lambda表达式,C 20引入概念和协程,未来将专注于性能和系统级编程。2.C#由微软在2000年发布,结合C 和Java的优点,其演变注重简洁性和生产力,如C#2.0引入泛型,C#5.0引入异步编程,未来将专注于开发者的生产力和云计算。

C#vs. C:学习曲线和开发人员的经验 C#vs. C:学习曲线和开发人员的经验 Apr 18, 2025 am 12:13 AM

C#和C 的学习曲线和开发者体验有显着差异。 1)C#的学习曲线较平缓,适合快速开发和企业级应用。 2)C 的学习曲线较陡峭,适用于高性能和低级控制的场景。

C和XML:探索关系和支持 C和XML:探索关系和支持 Apr 21, 2025 am 12:02 AM

C 通过第三方库(如TinyXML、Pugixml、Xerces-C )与XML交互。1)使用库解析XML文件,将其转换为C 可处理的数据结构。2)生成XML时,将C 数据结构转换为XML格式。3)在实际应用中,XML常用于配置文件和数据交换,提升开发效率。

什么是C  中的静态分析? 什么是C 中的静态分析? Apr 28, 2025 pm 09:09 PM

静态分析在C 中的应用主要包括发现内存管理问题、检查代码逻辑错误和提高代码安全性。1)静态分析可以识别内存泄漏、双重释放和未初始化指针等问题。2)它能检测未使用变量、死代码和逻辑矛盾。3)静态分析工具如Coverity能发现缓冲区溢出、整数溢出和不安全API调用,提升代码安全性。

C  中的chrono库如何使用? C 中的chrono库如何使用? Apr 28, 2025 pm 10:18 PM

使用C 中的chrono库可以让你更加精确地控制时间和时间间隔,让我们来探讨一下这个库的魅力所在吧。C 的chrono库是标准库的一部分,它提供了一种现代化的方式来处理时间和时间间隔。对于那些曾经饱受time.h和ctime折磨的程序员来说,chrono无疑是一个福音。它不仅提高了代码的可读性和可维护性,还提供了更高的精度和灵活性。让我们从基础开始,chrono库主要包括以下几个关键组件:std::chrono::system_clock:表示系统时钟,用于获取当前时间。std::chron

超越炒作:评估当今C的相关性 超越炒作:评估当今C的相关性 Apr 14, 2025 am 12:01 AM

C 在现代编程中仍然具有重要相关性。1)高性能和硬件直接操作能力使其在游戏开发、嵌入式系统和高性能计算等领域占据首选地位。2)丰富的编程范式和现代特性如智能指针和模板编程增强了其灵活性和效率,尽管学习曲线陡峭,但其强大功能使其在今天的编程生态中依然重要。

C的未来:改编和创新 C的未来:改编和创新 Apr 27, 2025 am 12:25 AM

C 的未来将专注于并行计算、安全性、模块化和AI/机器学习领域:1)并行计算将通过协程等特性得到增强;2)安全性将通过更严格的类型检查和内存管理机制提升;3)模块化将简化代码组织和编译;4)AI和机器学习将促使C 适应新需求,如数值计算和GPU编程支持。

C:死亡还是简单地发展? C:死亡还是简单地发展? Apr 24, 2025 am 12:13 AM

1)c relevantduetoItsAverity and效率和效果临界。2)theLanguageIsconTinuellyUped,withc 20introducingFeaturesFeaturesLikeTuresLikeSlikeModeLeslikeMeSandIntIneStoImproutiMimproutimprouteverusabilityandperformance.3)

See all articles