지역 사회
배우다
도구 라이브러리
AI 도구
여가
찾다
한국어
백엔드 개발 C++ Json.Net의 TypeNameHandling.Auto가 외부 JSON 역직렬화에 대한 보안 위험을 설정합니까?

Json.Net의 TypeNameHandling.Auto가 외부 JSON 역직렬화에 대한 보안 위험을 설정합니까?

Susan Sarandon
Susan Sarandon
Jan 07, 2025 pm 02:27 PM

Is Json.Net's TypeNameHandling.Auto Setting a Security Risk for External JSON Deserialization?

Json.Net TypeNameHandling Auto로 인해 외부 JSON이 취약합니까?

웹 애플리케이션 영역에서는 JSON 요청을 처리하는 것이 일반적인 관행입니다. . 그러나 Json.Net과 같은 JSON 프레임워크를 사용하는 자동 유형 역직렬화로 인한 잠재적인 위협에 대한 우려가 제기되었습니다.

문제 이해

JSON 페이로드가 역직렬화되는 경우 적절한 검증 없이, 특히 동적 또는 개체 유형 속성이 있는 경우 공격자가 "$type" 키가 포함된 악성 페이로드를 제공할 수 있습니다. 이 키는 역직렬화될 때 수신 시스템에서 임의의 코드를 실행할 수 있는 공격 가젯을 지정할 수 있습니다.

TypeNameHandling 및 Vulnerability

Json.Net은 다음과 같은 TypeNameHandling 설정을 제공합니다. "$type" 키가 포함된 JSON 페이로드가 어떻게 작동하는지 결정합니다. 처리됨:

  • 없음: "$type" 키의 역직렬화를 비활성화합니다.
  • 자동: " $type" 키.

기본적으로 이 설정은 다음과 같이 유지되는 경우가 많습니다. 잠재적인 취약점에 대한 우려를 불러일으키는 "Auto"입니다.

TypeNameHandling.Auto를 사용한 안전한 접근 방식

수신 JSON이 특정 유형으로만 역직렬화되는 특정 시나리오에서( MyObject) 및 MyObject 또는 해당 하위 개체 내에 개체나 동적 형식의 멤버가 없습니다. 가능성이 낮습니다.

그러나 이것이 안전을 보장하는 것은 아니라는 점에 유의해야 합니다. 예상치 못한 유형이나 유형이 지정되지 않은 항목이 포함된 컬렉션은 여전히 ​​허용될 수 있습니다. 공격 가젯의 역직렬화를 위해.

완화 및 최선책 사례

위험을 더욱 완화하려면 다음 모범 사례를 고려하십시오.

  • 사용자 지정 SerializationBinder를 사용하여 수신 유형의 유효성을 검사합니다.
  • 사용을 제한합니다. 개체, 동적 및 IDynamicMetaObjectProvider 유형.
  • 컬렉션을 역직렬화하거나 잠재적인 공격 가젯과 기본 유형을 공유하는 값입니다.
  • ISerialized를 구현하는 유형의 역직렬화를 방지하려면 DefaultContractResolver.IgnoreSerializedInterface = true를 설정하세요.

결론

Json.Net의 TypeNameHandling.Auto 설정을 활용하는 동안 취약성의 위험을 줄이려면 수신되는 JSON 데이터를 철저하게 검증하고 잠재적인 위협을 완화하기 위한 추가 보호 조치를 구현하는 것이 중요합니다.

위 내용은 Json.Net의 TypeNameHandling.Auto가 외부 JSON 역직렬화에 대한 보안 위험을 설정합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

Video Face Swap

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

더보기

인기 기사

<garden> : 정원 재배 - 완전한 돌연변이 가이드
3 몇 주 전 By DDD
<gum> : Bubble Gum Simulator Infinity- 로얄 키를 얻고 사용하는 방법
3 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
KB5055612 수정 방법 Windows 10에 설치되지 않습니까?
3 몇 주 전 By DDD
Nordhold : Fusion System, 설명
3 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
Mandragora : 마녀 트리의 속삭임 - Grappling Hook 잠금 해제 방법
3 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
더보기

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

더보기

뜨거운 주제

자바 튜토리얼
1664
14
Cakephp 튜토리얼
1423
52
라라벨 튜토리얼
1321
25
PHP 튜토리얼
1269
29
C# 튜토리얼
1249
24
더보기
Related knowledge
C# vs. C : 역사, 진화 및 미래 전망 C# vs. C : 역사, 진화 및 미래 전망 Apr 19, 2025 am 12:07 AM

C#과 C의 역사와 진화는 독특하며 미래의 전망도 다릅니다. 1.C는 1983 년 Bjarnestroustrup에 의해 발명되어 객체 지향 프로그래밍을 C 언어에 소개했습니다. Evolution 프로세스에는 자동 키워드 소개 및 Lambda Expressions 소개 C 11, C 20 도입 개념 및 코 루틴과 같은 여러 표준화가 포함되며 향후 성능 및 시스템 수준 프로그래밍에 중점을 둘 것입니다. 2.C#은 2000 년 Microsoft에 의해 출시되었으며 C와 Java의 장점을 결합하여 진화는 단순성과 생산성에 중점을 둡니다. 예를 들어, C#2.0은 제네릭과 C#5.0 도입 된 비동기 프로그래밍을 소개했으며, 이는 향후 개발자의 생산성 및 클라우드 컴퓨팅에 중점을 둘 것입니다.

C# vs. C : 학습 곡선 및 개발자 경험 C# vs. C : 학습 곡선 및 개발자 경험 Apr 18, 2025 am 12:13 AM

C# 및 C 및 개발자 경험의 학습 곡선에는 상당한 차이가 있습니다. 1) C#의 학습 곡선은 비교적 평평하며 빠른 개발 및 기업 수준의 응용 프로그램에 적합합니다. 2) C의 학습 곡선은 가파르고 고성능 및 저수준 제어 시나리오에 적합합니다.

C 커뮤니티 : 자원, 지원 및 개발 C 커뮤니티 : 자원, 지원 및 개발 Apr 13, 2025 am 12:01 AM

C 학습자와 개발자는 StackoverFlow, Reddit의 R/CPP 커뮤니티, Coursera 및 EDX 코스, GitHub의 오픈 소스 프로젝트, 전문 컨설팅 서비스 및 CPPCon에서 리소스와 지원을받을 수 있습니다. 1. StackoverFlow는 기술적 인 질문에 대한 답변을 제공합니다. 2. Reddit의 R/CPP 커뮤니티는 최신 뉴스를 공유합니다. 3. Coursera와 Edx는 공식적인 C 과정을 제공합니다. 4. LLVM 및 부스트 기술 향상과 같은 GitHub의 오픈 소스 프로젝트; 5. JetBrains 및 Perforce와 같은 전문 컨설팅 서비스는 기술 지원을 제공합니다. 6. CPPCON 및 기타 회의는 경력을 돕습니다

C 및 XML : 관계와 지원 탐색 C 및 XML : 관계와 지원 탐색 Apr 21, 2025 am 12:02 AM

C는 XML과 타사 라이브러리 (예 : TinyXML, Pugixml, Xerces-C)와 상호 작용합니다. 1) 라이브러리를 사용하여 XML 파일을 구문 분석하고 C- 처리 가능한 데이터 구조로 변환하십시오. 2) XML을 생성 할 때 C 데이터 구조를 XML 형식으로 변환하십시오. 3) 실제 애플리케이션에서 XML은 종종 구성 파일 및 데이터 교환에 사용되어 개발 효율성을 향상시킵니다.

과대 광고 : 오늘 C의 관련성을 평가합니다 과대 광고 : 오늘 C의 관련성을 평가합니다 Apr 14, 2025 am 12:01 AM

C는 여전히 현대 프로그래밍과 관련이 있습니다. 1) 고성능 및 직접 하드웨어 작동 기능은 게임 개발, 임베디드 시스템 및 고성능 컴퓨팅 분야에서 첫 번째 선택이됩니다. 2) 스마트 포인터 및 템플릿 프로그래밍과 같은 풍부한 프로그래밍 패러다임 및 현대적인 기능은 유연성과 효율성을 향상시킵니다. 학습 곡선은 가파르지만 강력한 기능은 오늘날의 프로그래밍 생태계에서 여전히 중요합니다.

C의 미래 : 적응 및 혁신 C의 미래 : 적응 및 혁신 Apr 27, 2025 am 12:25 AM

C의 미래는 병렬 컴퓨팅, 보안, 모듈화 및 AI/기계 학습에 중점을 둘 것입니다. 1) 병렬 컴퓨팅은 코 루틴과 같은 기능을 통해 향상 될 것입니다. 2)보다 엄격한 유형 검사 및 메모리 관리 메커니즘을 통해 보안이 향상 될 것입니다. 3) 변조는 코드 구성 및 편집을 단순화합니다. 4) AI 및 머신 러닝은 C가 수치 컴퓨팅 및 GPU 프로그래밍 지원과 같은 새로운 요구에 적응하도록 촉구합니다.

C에서 Chrono 라이브러리를 사용하는 방법? C에서 Chrono 라이브러리를 사용하는 방법? Apr 28, 2025 pm 10:18 PM

C에서 Chrono 라이브러리를 사용하면 시간과 시간 간격을보다 정확하게 제어 할 수 있습니다. 이 도서관의 매력을 탐구합시다. C의 크로노 라이브러리는 표준 라이브러리의 일부로 시간과 시간 간격을 다루는 현대적인 방법을 제공합니다. 시간과 C 시간으로 고통받는 프로그래머에게는 Chrono가 의심 할 여지없이 혜택입니다. 코드의 가독성과 유지 가능성을 향상시킬뿐만 아니라 더 높은 정확도와 유연성을 제공합니다. 기본부터 시작합시다. Chrono 라이브러리에는 주로 다음 주요 구성 요소가 포함됩니다. std :: Chrono :: System_Clock : 현재 시간을 얻는 데 사용되는 시스템 클럭을 나타냅니다. STD :: 크론

C : 죽어 가거나 단순히 진화하고 있습니까? C : 죽어 가거나 단순히 진화하고 있습니까? Apr 24, 2025 am 12:13 AM

c is nontdying; it'sevolving.1) c COMINGDUETOITSTIONTIVENICICICICINICE INPERFORMICALEPPLICATION.2) thelugageIscontinuousUllyUpdated, witcentfeatureslikemodulesandCoroutinestoimproveusActionalance.3) despitechallen

See all articles