communauté

Apprendre

Bibliothèque d'outils

Outils d'IA

Loisirs

Français

Maison > développement back-end > C++ > La désérialisation JSON automatique avec « TypeNameHandling.Auto » de Json.Net est-elle sécurisée, même en limitant la désérialisation à un type spécifique ?

La désérialisation JSON automatique avec « TypeNameHandling.Auto » de Json.Net est-elle sécurisée, même en limitant la désérialisation à un type spécifique ?

Mary-Kate Olsen

Libérer： 2025-01-07 14:16:41

original

874 Les gens l'ont consulté

Is Automatic JSON Deserialization with Json.Net's `TypeNameHandling.Auto` Secure, Even When Limiting Deserialization to a Specific Type?

Le JSON externe peut-il être vulnérable en raison de la gestion automatique du nom de type Json.Net ?

Problème :

Dans les applications de sites Web où les utilisateurs téléchargent des objets JSON personnalisés, il est impératif d'être conscient des menaces potentielles découlant du type JSON automatisé. désérialisation. La question est de savoir si la désérialisation automatique de type est sensible aux vulnérabilités si le seul type désérialisé est un type spécifique (par exemple, MyObject) et qu'aucun des membres de MyObject n'a le type System.Object ou dynamique.

Réponse :

Bien que le respect de ces conditions réduit considérablement le risque, il ne garantit pas une protection complète. Le paramètre TypeNameHandling de Json.Net, lorsqu'il est défini sur Auto, peut potentiellement créer des objets basés sur les informations « $type » même lorsqu'aucun champ correspondant n'existe dans MyObject.

Explication détaillée :

Les attaques ciblant Json.Net exploitent le paramètre TypeNameHandling pour construire des « gadgets d'attaque » – des objets conçus pour compromettre le système récepteur. Les mécanismes de protection de Json.Net incluent l'ignorance des propriétés inconnues et la vérification de la compatibilité des types. Cependant, il existe des scénarios dans lesquels un gadget d'attaque peut être construit même sans aucun membre non typé évident :

Désérialisation de collections non typées (par exemple, ArrayList, List
)
Désérialisation de collections semi-typées (par exemple, CollectionBase)

Désérialisation des types qui implémentent ISerializing (par exemple, Exception)

Désérialisation des types avec sérialisation conditionnelle des membres (par exemple, objet public tempData; public bool ShouldSerializeTempData() { return false; })

Recommandations :
- Faites preuve de prudence : TypeNameHandling doit être utilisé avec prudence lors de la désérialisation d'un JSON externe, et un paramètre personnalisé SerializationBinder est recommandé pour la validation.
- Examiner les données Modèle : Assurez-vous qu'aucun type de membre n'est objet, dynamique ou compatible avec les gadgets d'attaque.
- Envisagez le classeur de sérialisation : Implémentez un SerializationBinder personnalisé pour contrôler strictement les types qui sont désérialisés.
En conclusion, même si les conditions prévues atténuent considérablement les risques, il est important de noter qu'elles ne garantissent pas une sécurité totale. Le paramètre TypeNameHandling Auto de Json.Net peut encore potentiellement faciliter la création de gadgets d'attaque, nécessitant des précautions supplémentaires telles que des classeurs de sérialisation personnalisés.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source：php.cn

Article précédent：Comment puis-je sécuriser ma désérialisation JSON à partir de sources externes à l'aide de TypeNameHandling de Json.Net ? Article suivant：Dans quelle mesure votre désérialisation JSON est-elle sécurisée avec TypeNameHandling de Json.Net ?

Déclaration de ce site Web

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Derniers numéros

function_exists() ne peut pas déterminer la fonction personnalisée Function test () {return true;} if (function_exists ('test')) {echo "le test est une ...

Depuis 2024-04-29 11:01:01

0

3

2420

Comment afficher la version mobile de Google Chrome Bonjour professeur, comment puis-je changer Google Chrome en version mobile ?

Depuis 2024-04-23 00:22:19

0

11

2550

La fenêtre enfant exploite la fenêtre parent, mais la sortie ne répond pas. Les deux premières phrases sont exécutables, mais la dernière ne peut pas être implémentée...

Depuis 2024-04-19 15:37:47

0

1

2160

Il n'y a aucune sortie dans la fenêtre parent document.onclick = function(){ window.opener.document.write('Je suis la sortie de la fenêt...

Depuis 2024-04-18 23:52:34

0

1

2039

Où sont les didacticiels sur la cartographie mentale CSS ? Didacticiel

Depuis 2024-04-16 10:10:18

0

0

2128
Rubriques connexes
Plus>
Recommandations populaires
Comment résoudre l'erreur de syntaxe C++ : « expression primaire attendue avant le jeton » ; »

Comment résoudre l'erreur de syntaxe C++ : « expression primaire attendue avant », jeton » ?

Erreur de compilation C++ : identifiant non déclaré, comment la résoudre ?

Erreur C++ : identifiant introuvable, que faire ?

Erreur C++ : variable non initialisée, comment la résoudre ?
Tutoriels populaires
Plus>
Tutoriels associés

Recommandations populaires

Derniers cours

Le dernier didacticiel vidéo ThinkPHP 5.1 en première mondiale (60 jours pour devenir un expert PHP en ligne)

1426937

Premier tutoriel d'introduction à PHP : Apprenez PHP en une semaine

4276722

Tutoriel vidéo JAVA pour débutants

2573874

Tutoriel vidéo d'introduction base zéro à l'apprentissage de Python de Little Turtle

509843

Tutoriel d'introduction PHP base zéro

866540

Le dernier didacticiel vidéo ThinkPHP 5.1 en première mondiale (60 jours pour devenir un expert PHP en ligne)

1426937 temps d'étude

Tutoriel vidéo JAVA pour débutants

2573874 temps d'étude

Tutoriel vidéo d'introduction base zéro à l'apprentissage de Python de Little Turtle

509843 temps d'étude

Introduction rapide au développement web front-end

216214 temps d'étude

Maîtrisez les didacticiels vidéo PS à partir de zéro

898218 temps d'étude

[Web front-end] Démarrage rapide de Node.js

8160 temps d'étude

Collection complète de cours full-stack de développement Web étranger

6466 temps d'étude

Aller au langage pratique GraphQL

5379 temps d'étude

Le maître du ventilateur de 550 W apprend JavaScript à partir de zéro, étape par étape

737 temps d'étude

Le maître Python Mosh, un débutant sans aucune connaissance de base peut commencer en 6 heures

27332 temps d'étude
Derniers téléchargements
Plus>
effets Web

Code source du site Web

Matériel du site Web

Modèle frontal

[bouton de formulaire] Code de contact du formulaire de message d'entreprise jQuery

[Effets spéciaux du joueur] Effets de lecture de boîte à musique HTML5 MP3

[Navigation dans les menus] Effets spéciaux du menu de navigation d'animation de particules cool HTML5

[bouton de formulaire] Code d'édition par glisser-déposer du formulaire visuel jQuery

[Effets spéciaux du joueur] Code du lecteur de musique Kugou imitation VUE.JS

[effets spéciaux HTML5] Jeu de boîte de poussée HTML5 classique

[Effets spéciaux d'image] défilement jQuery pour ajouter ou réduire des effets d'image

[Effets d'album photo] Effet de zoom de survol de la couverture de l'album personnel CSS3

[Modèle frontal] Modèle de site Web d'entreprise de services de nettoyage et de réparation de décoration intérieure

[Modèle frontal] Modèle de page de guide de CV personnel aux couleurs fraîches

[Modèle frontal] Modèle Web de CV de travail créatif de concepteur

[Modèle frontal] Modèle de site Web d'entreprise de construction d'ingénierie moderne

[Modèle frontal] Modèle HTML5 réactif pour les établissements de services éducatifs

[Modèle frontal] Modèle de site Web de centre commercial de boutique de livres électroniques en ligne

[Modèle frontal] La technologie informatique résout le modèle de site Web d'entreprise Internet

[Modèle frontal] Modèle de site Web de service de trading de devises de style violet

[Matériau PNG] Matériau vectoriel d'éléments d'été mignons (EPS+PNG)

[Matériau PNG] Matériel vectoriel de quatre badges de graduation rouges 2023 (AI+EPS+PNG)

[image de bannière] Oiseau chantant et chariot rempli de fleurs design matériel vectoriel de bannière de printemps (AI + EPS)

[Matériau PNG] Matériau vectoriel de chapeau de graduation doré (EPS+PNG)

[Matériau PNG] Matériel vectoriel d'icône de montagne de style noir et blanc (EPS+PNG)

[Matériau PNG] Matériel vectoriel de silhouette de super-héros (EPS+PNG) avec des capes de couleurs différentes et des poses différentes

[image de bannière] Matériel vectoriel de bannière Arbor Day de style plat (AI + EPS)

[Matériau PNG] Matériel vectoriel de neuf bulles de discussion explosives de style bande dessinée (EPS+PNG)

[Modèle frontal] Modèle de site Web d'entreprise de services de nettoyage et de réparation de décoration intérieure

[Modèle frontal] Modèle de page de guide de CV personnel aux couleurs fraîches

[Modèle frontal] Modèle Web de CV de travail créatif de concepteur

[Modèle frontal] Modèle de site Web d'entreprise de construction d'ingénierie moderne

[Modèle frontal] Modèle HTML5 réactif pour les établissements de services éducatifs

[Modèle frontal] Modèle de site Web de centre commercial de boutique de livres électroniques en ligne

[Modèle frontal] La technologie informatique résout le modèle de site Web d'entreprise Internet

[Modèle frontal] Modèle de site Web de service de trading de devises de style violet
Formation PHP en ligne sur le bien-être public，Aidez les apprenants PHP à grandir rapidement！

À propos de nous Clause de non-responsabilité Sitemap

© php.cn All rights reserved