即使将反序列化限制为特定类型,使用 Json.Net 的'TypeNameHandling.Auto”自动 JSON 反序列化是否安全?
外部 JSON 会因为 Json.Net TypeNameHandling Auto 而变得脆弱吗?
问题:
在用户上传自定义 JSON 对象的网站应用程序中,必须意识到出现的潜在威胁来自自动 JSON 类型反序列化。问题是,如果反序列化的唯一类型是特定类型(例如 MyObject)并且 MyObject 的所有成员都不具有 System.Object 或动态类型,那么自动类型反序列化是否容易受到漏洞的影响。
答案:
虽然遵守这些条件可以显着降低风险,但并不能保证完全保护。 Json.Net 的 TypeNameHandling 设置为 Auto 时,即使 MyObject 中不存在相应字段,也有可能根据“$type”信息创建对象。
详细说明:
针对 Json.Net 的攻击利用 TypeNameHandling 设置来构造“攻击小工具”——旨在危害接收系统的对象。 Json.Net 的保护机制包括忽略未知属性和检查类型兼容性。然而,在某些情况下,即使没有任何明显的非类型化成员,也可以构造攻击小工具:
- 非类型化集合的反序列化(例如 ArrayList、List
- 半类型集合(例如, CollectionBase)
- 实现 ISerialized 的类型的反序列化(例如 Exception)
- 具有成员条件序列化的类型的反序列化(例如 public object tempData; public bool ShouldSerializeTempData() { return false; } })
建议:
- 谨慎使用:反序列化外部 JSON 时应谨慎使用 TypeNameHandling,并且自定义SerializationBinder 推荐用于验证。
- 检查数据模型:确保没有成员类型是对象、动态或与攻击小工具兼容。
- 考虑序列化绑定器:实现自定义 SerializationBinder 来严格控制哪些类型
总之,虽然所提供的条件可以显着降低风险,但值得注意的是,它并不能保证完全的安全性。 Json.Net 的 TypeNameHandling Auto 设置仍然可能有利于攻击小工具的创建,因此需要采取额外的预防措施,例如自定义序列化绑定器。
以上是即使将反序列化限制为特定类型,使用 Json.Net 的'TypeNameHandling.Auto”自动 JSON 反序列化是否安全?的详细内容。更多信息请关注PHP中文网其他相关文章!

热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

热工具

记事本++7.3.1
好用且免费的代码编辑器

SublimeText3汉化版
中文版,非常好用

禅工作室 13.0.1
功能强大的PHP集成开发环境

Dreamweaver CS6
视觉化网页开发工具

SublimeText3 Mac版
神级代码编辑软件(SublimeText3)

C#和C 的历史与演变各有特色,未来前景也不同。1.C 由BjarneStroustrup在1983年发明,旨在将面向对象编程引入C语言,其演变历程包括多次标准化,如C 11引入auto关键字和lambda表达式,C 20引入概念和协程,未来将专注于性能和系统级编程。2.C#由微软在2000年发布,结合C 和Java的优点,其演变注重简洁性和生产力,如C#2.0引入泛型,C#5.0引入异步编程,未来将专注于开发者的生产力和云计算。

C#和C 的学习曲线和开发者体验有显着差异。 1)C#的学习曲线较平缓,适合快速开发和企业级应用。 2)C 的学习曲线较陡峭,适用于高性能和低级控制的场景。

C 通过第三方库(如TinyXML、Pugixml、Xerces-C )与XML交互。1)使用库解析XML文件,将其转换为C 可处理的数据结构。2)生成XML时,将C 数据结构转换为XML格式。3)在实际应用中,XML常用于配置文件和数据交换,提升开发效率。

静态分析在C 中的应用主要包括发现内存管理问题、检查代码逻辑错误和提高代码安全性。1)静态分析可以识别内存泄漏、双重释放和未初始化指针等问题。2)它能检测未使用变量、死代码和逻辑矛盾。3)静态分析工具如Coverity能发现缓冲区溢出、整数溢出和不安全API调用,提升代码安全性。

使用C 中的chrono库可以让你更加精确地控制时间和时间间隔,让我们来探讨一下这个库的魅力所在吧。C 的chrono库是标准库的一部分,它提供了一种现代化的方式来处理时间和时间间隔。对于那些曾经饱受time.h和ctime折磨的程序员来说,chrono无疑是一个福音。它不仅提高了代码的可读性和可维护性,还提供了更高的精度和灵活性。让我们从基础开始,chrono库主要包括以下几个关键组件:std::chrono::system_clock:表示系统时钟,用于获取当前时间。std::chron

C 在现代编程中仍然具有重要相关性。1)高性能和硬件直接操作能力使其在游戏开发、嵌入式系统和高性能计算等领域占据首选地位。2)丰富的编程范式和现代特性如智能指针和模板编程增强了其灵活性和效率,尽管学习曲线陡峭,但其强大功能使其在今天的编程生态中依然重要。

C 的未来将专注于并行计算、安全性、模块化和AI/机器学习领域:1)并行计算将通过协程等特性得到增强;2)安全性将通过更严格的类型检查和内存管理机制提升;3)模块化将简化代码组织和编译;4)AI和机器学习将促使C 适应新需求,如数值计算和GPU编程支持。

1)c relevantduetoItsAverity and效率和效果临界。2)theLanguageIsconTinuellyUped,withc 20introducingFeaturesFeaturesLikeTuresLikeSlikeModeLeslikeMeSandIntIneStoImproutiMimproutimprouteverusabilityandperformance.3)
