masyarakat
Belajar
Perpustakaan Alatan
Alat AI
Masa lapang
cari
Melayu
Rumah pembangunan bahagian belakang C++ Adakah Tetapan `TypeNameHandling` Json.Net Anda (Auto) Terdedah kepada Serangan Data JSON Luaran?

Adakah Tetapan `TypeNameHandling` Json.Net Anda (Auto) Terdedah kepada Serangan Data JSON Luaran?

DDD
DDD
Jan 07, 2025 pm 02:39 PM

Is Your Json.Net `TypeNameHandling` Setting (Auto) Vulnerable to External JSON Data Attacks?

Bolehkah Data JSON Luaran Menimbulkan Ancaman dengan Json.Net TypeNameHandling Ditetapkan kepada Auto?

Dalam penyahserikatan JSON, tetapan TypeNameHandling Json. Net memainkan peranan penting dalam mengurangkan potensi ancaman. Walau bagaimanapun, kebimbangan kekal mengenai keselamatan menggunakan tetapan ini dengan data JSON yang disediakan pengguna. Mari kita selidiki isu ini dan terokai potensi risiko dan langkah berjaga-jaga.

Kerentanan TypeNameHandling

Beban JSON luaran boleh dimanipulasi untuk mengandungi sifat "$type" yang menentukan jenis untuk penyahserialisasian. Jika jenis ini tidak disahkan dengan teliti, penyerang boleh mengeksploitasinya untuk membuat seketika objek penyangak yang dikenali sebagai "alat penyerang." Alat ini boleh melaksanakan tindakan berniat jahat, seperti pelaksanaan kod jauh (RCE) atau manipulasi sistem fail.

Langkah Perlindungan

Json.Net telah melaksanakan perlindungan untuk mencegah serangan sedemikian :

  • Hartanah Tidak Diketahui Kejahilan: Ia mengabaikan sifat yang tidak diketahui, menjadikan muatan JSON dengan sifat "$type" luar tidak berbahaya.
  • Keserasian Siri: Semasa penyahserilangan nilai polimorfik, ia menyemak sama ada jenis yang diselesaikan sepadan dengan yang diharapkan. Jika tidak, pengecualian akan dilemparkan.

Potensi Celah

Walaupun langkah-langkah ini, terdapat situasi tertentu di mana alat serangan mungkin masih dibina, walaupun dalam ketiadaan ahli yang tidak ditaip yang jelas:

  • Tidak ditaip Koleksi: Menyahsiri koleksi jenis yang tidak diketahui, seperti ArrayList, List, atau HashTable, boleh membenarkan alat serangan dalam item koleksi.
  • Koleksi Separa Taip: Menyahsiri koleksi yang diperoleh daripada CollectionBase, yang menyokong pengesahan jenis masa jalan, boleh mencipta tetingkap untuk alat pembinaan.
  • Jenis Pangkalan Dikongsi: Ahli polimorfik diisytiharkan sebagai antara muka atau jenis asas yang dikongsi oleh alat serangan (cth., ICollection, IDisposable) boleh memperkenalkan kelemahan.
  • Antara Muka ISerializable: Jenis yang melaksanakan ISerializable mungkin secara tidak sengaja nyahsiri ahli yang tidak ditaip, mendedahkan mereka kepada serangan.
  • Pensiri Bersyarat: Ahli yang ditandakan sebagai tidak bersiri dalam ShouldSerializeAttribute mungkin masih dinyahsiri jika terdapat dalam JSON muatan.

    • Pengesyoran

    Untuk meminimumkan risiko, pertimbangkan pengesyoran berikut:

    • Sahkan Jenis Tidak Diketahui: Laksanakan SerializationBinder tersuai untuk menyemak jenis bersiri yang masuk dan menolak yang tidak dibenarkan.
    • Elakkan Ahli Tidak Ditaip: Pastikan data anda model tidak mengandungi ahli objek jenis, dinamik atau lain-lain yang berpotensi untuk dieksploitasi jenis.
    • Tetapkan DefaultContractResolver: Pertimbangkan untuk menetapkan DefaultContractResolver.IgnoreSerializableInterface dan DefaultContractResolver.IgnoreSerializableAttribute kepada benar.
      • Kod Disahkan Semula untuk: NonSerializable Kod: bahawa ahli yang ditandakan sebagai tidak bersiri tidak dinyahsiri dalam situasi yang tidak dijangka.
    Dengan mematuhi amalan terbaik ini, anda boleh mengurangkan dengan banyak kemungkinan data JSON luaran menjejaskan sistem anda melalui Json.Net TypeNameHandling yang ditetapkan kepada Auto.

    Atas ialah kandungan terperinci Adakah Tetapan `TypeNameHandling` Json.Net Anda (Auto) Terdedah kepada Serangan Data JSON Luaran?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

    Kenyataan Laman Web ini
    Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

    Alat AI Hot

    Undresser.AI Undress

    Undresser.AI Undress

    Apl berkuasa AI untuk mencipta foto bogel yang realistik

    AI Clothes Remover

    AI Clothes Remover

    Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

    Undress AI Tool

    Undress AI Tool

    Gambar buka pakaian secara percuma

    Clothoff.io

    Clothoff.io

    Penyingkiran pakaian AI

    Video Face Swap

    Video Face Swap

    Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

    Tunjukkan Lagi

    Artikel Panas

    Bagaimana untuk memperbaiki KB5055523 gagal dipasang di Windows 11?
    4 minggu yang lalu By DDD
    Bagaimana untuk memperbaiki KB5055518 gagal dipasang di Windows 10?
    4 minggu yang lalu By DDD
    <🎜>: Tumbuh Taman - Panduan Mutasi Lengkap
    3 minggu yang lalu By DDD
    <🎜>: Bubble Gum Simulator Infinity - Cara Mendapatkan dan Menggunakan Kekunci Diraja
    3 minggu yang lalu By 尊渡假赌尊渡假赌尊渡假赌
    Bagaimana untuk memperbaiki KB5055612 gagal dipasang di Windows 10?
    3 minggu yang lalu By DDD
    Tunjukkan Lagi

    Alat panas

    Notepad++7.3.1

    Notepad++7.3.1

    Editor kod yang mudah digunakan dan percuma

    SublimeText3 versi Cina

    SublimeText3 versi Cina

    Versi Cina, sangat mudah digunakan

    Hantar Studio 13.0.1

    Hantar Studio 13.0.1

    Persekitaran pembangunan bersepadu PHP yang berkuasa

    Dreamweaver CS6

    Dreamweaver CS6

    Alat pembangunan web visual

    SublimeText3 versi Mac

    SublimeText3 versi Mac

    Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

    Tunjukkan Lagi

    Topik panas

    Tutorial Java
    1664
    14
    Tutorial CakePHP
    1421
    52
    Tutorial Laravel
    1315
    25
    Tutorial PHP
    1266
    29
    Tutorial C#
    1239
    24
    Tunjukkan Lagi
    Related knowledge
    C# vs C: Sejarah, evolusi, dan prospek masa depan C# vs C: Sejarah, evolusi, dan prospek masa depan Apr 19, 2025 am 12:07 AM

    Sejarah dan evolusi C# dan C adalah unik, dan prospek masa depan juga berbeza. 1.C dicipta oleh BjarnestroustRup pada tahun 1983 untuk memperkenalkan pengaturcaraan berorientasikan objek ke dalam bahasa C. Proses evolusinya termasuk pelbagai standardisasi, seperti C 11 memperkenalkan kata kunci auto dan ekspresi Lambda, C 20 memperkenalkan konsep dan coroutin, dan akan memberi tumpuan kepada pengaturcaraan prestasi dan sistem pada masa akan datang. 2.C# telah dikeluarkan oleh Microsoft pada tahun 2000. Menggabungkan kelebihan C dan Java, evolusinya memberi tumpuan kepada kesederhanaan dan produktiviti. Sebagai contoh, C#2.0 memperkenalkan generik dan C#5.0 memperkenalkan pengaturcaraan tak segerak, yang akan memberi tumpuan kepada produktiviti pemaju dan pengkomputeran awan pada masa akan datang.

    Masa Depan C dan XML: Trend dan Teknologi Muncul Masa Depan C dan XML: Trend dan Teknologi Muncul Apr 10, 2025 am 09:28 AM

    Trend pembangunan masa depan C dan XML adalah: 1) C akan memperkenalkan ciri -ciri baru seperti modul, konsep dan coroutin melalui piawaian C 20 dan C 23 untuk meningkatkan kecekapan dan keselamatan pengaturcaraan; 2) XML akan terus menduduki kedudukan penting dalam pertukaran data dan fail konfigurasi, tetapi akan menghadapi cabaran JSON dan YAML, dan akan berkembang dengan lebih ringkas dan mudah untuk menghuraikan arahan, seperti penambahbaikan XMLSChema1.1 dan XPath3.1.

    Penggunaan berterusan C: Sebab -sebab ketahanannya Penggunaan berterusan C: Sebab -sebab ketahanannya Apr 11, 2025 am 12:02 AM

    C Alasan penggunaan berterusan termasuk prestasi tinggi, aplikasi luas dan ciri -ciri yang berkembang. 1) Prestasi kecekapan tinggi: C melaksanakan dengan baik dalam pengaturcaraan sistem dan pengkomputeran berprestasi tinggi dengan terus memanipulasi memori dan perkakasan. 2) Digunakan secara meluas: bersinar dalam bidang pembangunan permainan, sistem tertanam, dan lain -lain. 3) Evolusi berterusan: Sejak pembebasannya pada tahun 1983, C terus menambah ciri -ciri baru untuk mengekalkan daya saingnya.

    C# vs C: Lembaran Lelajaran dan Pengalaman Pemaju C# vs C: Lembaran Lelajaran dan Pengalaman Pemaju Apr 18, 2025 am 12:13 AM

    Terdapat perbezaan yang signifikan dalam lengkung pembelajaran C# dan C dan pengalaman pemaju. 1) Keluk pembelajaran C# agak rata dan sesuai untuk pembangunan pesat dan aplikasi peringkat perusahaan. 2) Keluk pembelajaran C adalah curam dan sesuai untuk senario kawalan berprestasi tinggi dan rendah.

    C dan XML: Meneroka hubungan dan sokongan C dan XML: Meneroka hubungan dan sokongan Apr 21, 2025 am 12:02 AM

    C Berinteraksi dengan XML melalui perpustakaan pihak ketiga (seperti TinyXML, PugixML, Xerces-C). 1) Gunakan perpustakaan untuk menghuraikan fail XML dan menukarnya ke dalam struktur data C-diproses. 2) Apabila menjana XML, tukar struktur data C ke format XML. 3) Dalam aplikasi praktikal, XML sering digunakan untuk fail konfigurasi dan pertukaran data untuk meningkatkan kecekapan pembangunan.

    Komuniti C: Sumber, Sokongan, dan Pembangunan Komuniti C: Sumber, Sokongan, dan Pembangunan Apr 13, 2025 am 12:01 AM

    C Pelajar dan pemaju boleh mendapatkan sumber dan sokongan dari StackOverflow, Komuniti R/CPP Reddit, Coursera dan EDX, Projek Sumber Terbuka di GitHub, Perkhidmatan Perundingan Profesional, dan CPPCON. 1. StackOverflow memberikan jawapan kepada soalan teknikal; 2. Komuniti R/CPP Reddit berkongsi berita terkini; 3. Coursera dan EDX menyediakan kursus f rasmi; 4. Projek sumber terbuka pada GitHub seperti LLVM dan meningkatkan kemahiran meningkatkan; 5. Perkhidmatan perundingan profesional seperti jetbrains dan perforce menyediakan sokongan teknikal; 6. CPPCON dan persidangan lain membantu kerjaya

    Corak Reka Bentuk C Moden: Membina perisian berskala dan boleh dipelihara Corak Reka Bentuk C Moden: Membina perisian berskala dan boleh dipelihara Apr 09, 2025 am 12:06 AM

    Model reka bentuk C moden menggunakan ciri -ciri baru C 11 dan seterusnya untuk membantu membina perisian yang lebih fleksibel dan cekap. 1) Gunakan Ekspresi Lambda dan STD :: Fungsi untuk memudahkan corak pemerhati. 2) Mengoptimumkan prestasi melalui semantik mudah alih dan pemajuan sempurna. 3) Penunjuk pintar memastikan jenis keselamatan dan pengurusan sumber.

    Di luar gembar -gembur: Menilai kaitan C hari ini Di luar gembar -gembur: Menilai kaitan C hari ini Apr 14, 2025 am 12:01 AM

    C masih mempunyai kaitan penting dalam pengaturcaraan moden. 1) Keupayaan operasi prestasi tinggi dan perkakasan langsung menjadikannya pilihan pertama dalam bidang pembangunan permainan, sistem tertanam dan pengkomputeran berprestasi tinggi. 2) Paradigma pengaturcaraan yang kaya dan ciri -ciri moden seperti penunjuk pintar dan pengaturcaraan templat meningkatkan fleksibiliti dan kecekapannya. Walaupun lengkung pembelajaran curam, keupayaannya yang kuat menjadikannya masih penting dalam ekosistem pengaturcaraan hari ini.

    See all articles

    Latihan PHP dalam talian kebajikan awam,Bantu pelajar PHP berkembang dengan cepat!

    Tentang kita Penafian Sitemap

    © php.cn All rights reserved