communauté

Apprendre

Bibliothèque d'outils

Outils d'IA

Loisirs

Français

Maison > développement back-end > C++ > Dans quelle mesure votre désérialisation JSON est-elle sécurisée avec TypeNameHandling de Json.Net ?

Dans quelle mesure votre désérialisation JSON est-elle sécurisée avec TypeNameHandling de Json.Net ?

Patricia Arquette

Libérer： 2025-01-07 14:23:42

original

623 Les gens l'ont consulté

How Secure is Your JSON Deserialization with Json.Net's TypeNameHandling?

Exposition JSON externe : comprendre les risques liés à la gestion des noms de types avec Json.Net

La désérialisation JSON avec gestion automatique des types peut constituer des menaces de sécurité. Cet article vise à clarifier les vulnérabilités potentielles lors de l'utilisation de TypeNameHandling avec des paramètres définis sur Auto dans Json.Net.

Comprendre TypeNameHandling dans Json.Net

TypeNameHandling contrôle la façon dont JSON. Net désérialise les types avec les propriétés « $type », qui spécifient le nom complet du type à instancier. Lorsqu'il est défini sur Auto, Json.Net tente de résoudre le type spécifié et de construire une instance.

Dangers potentiels

Sans objet immédiat ou membres dynamiques dans votre modèle de données, vous pouvez assumer une protection contre les attaques de désérialisation. Cependant, certains scénarios peuvent encore présenter des risques :

Collections non typées : Désérialiser des collections non typées comme ArrayList ou List
est vulnérable aux attaques de gadgets au sein de leurs éléments.
CollectionBase : Les types héritant de CollectionBase permettent la validation des éléments à l'exécution, créant une faille potentielle pour la construction de gadgets d'attaque.

Types de base partagés : Les valeurs polymorphes avec des types de base ou des interfaces partagées par des gadgets d'attaque sont susceptibles d'être désérialisées. attaques.

Types ISerial cause : Les types implémentant ISerialisable peuvent désérialiser les membres non typés, y compris le dictionnaire Exception.Data.

Sérialisation conditionnelle : Membres marqués comme les méthodes non sérialisées via ShouldSerialize peuvent toujours être désérialisées si elles sont présentes dans JSON entrée.

Mesures d'atténuation

Pour améliorer la sécurité, considérez les éléments suivants :
- Classeur de sérialisation personnalisé : Implémentez un SerializationBinder personnalisé pour valider les types attendus et empêcher la désérialisation des types inattendus. types.
- TypeNameHandling.None : Pensez à définir TypeNameHandling sur Aucun, ce qui désactive efficacement la résolution de type pendant la désérialisation.
- Alerte à la saisie inattendue/cachée : Restez vigilant quant aux membres non typés ou aux comportements de sérialisation cachés dans vos données model.
- Désactiver le contrat de sérialisation par défaut : Évitez de définir DefaultContractResolver.IgnoreSerializingInterface ou DefaultContractResolver.IgnoreSerializingAttribute sur false.
Conclusion

Bien que certains mécanismes de Json.Net aident à atténuer les vulnérabilités, il est crucial d'examiner attentivement les risques potentiels posés par TypeNameHandling dans la désérialisation JSON externe. En suivant les précautions recommandées, telles que la mise en œuvre d'un SerializationBinder personnalisé et la vérification du typage de votre modèle de données, vous pouvez augmenter la sécurité de votre application tout en utilisant les fonctionnalités de Json.Net.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source：php.cn

Article précédent：La désérialisation JSON automatique avec « TypeNameHandling.Auto » de Json.Net est-elle sécurisée, même en limitant la désérialisation à un type spécifique ? Article suivant：TypeNameHandling.Auto de Json.Net définit-il un risque de sécurité pour la désérialisation JSON externe ?

Déclaration de ce site Web

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Derniers numéros

function_exists() ne peut pas déterminer la fonction personnalisée Function test () {return true;} if (function_exists ('test')) {echo "le test est une ...

Depuis 2024-04-29 11:01:01

0

3

2420

Comment afficher la version mobile de Google Chrome Bonjour professeur, comment puis-je changer Google Chrome en version mobile ?

Depuis 2024-04-23 00:22:19

0

11

2550

La fenêtre enfant exploite la fenêtre parent, mais la sortie ne répond pas. Les deux premières phrases sont exécutables, mais la dernière ne peut pas être implémentée...

Depuis 2024-04-19 15:37:47

0

1

2160

Il n'y a aucune sortie dans la fenêtre parent document.onclick = function(){ window.opener.document.write('Je suis la sortie de la fenêt...

Depuis 2024-04-18 23:52:34

0

1

2039

Où sont les didacticiels sur la cartographie mentale CSS ? Didacticiel

Depuis 2024-04-16 10:10:18

0

0

2129
Rubriques connexes
Plus>
Recommandations populaires
Comment résoudre l'erreur de syntaxe C++ : « expression primaire attendue avant le jeton » ; »

Comment résoudre l'erreur de syntaxe C++ : « expression primaire attendue avant », jeton » ?

Erreur de compilation C++ : identifiant non déclaré, comment la résoudre ?

Erreur C++ : identifiant introuvable, que faire ?

Erreur C++ : variable non initialisée, comment la résoudre ?
Tutoriels populaires
Plus>
Tutoriels associés

Recommandations populaires

Derniers cours

Le dernier didacticiel vidéo ThinkPHP 5.1 en première mondiale (60 jours pour devenir un expert PHP en ligne)

1426940

Premier tutoriel d'introduction à PHP : Apprenez PHP en une semaine

4276731

Tutoriel vidéo JAVA pour débutants

2573884

Tutoriel vidéo d'introduction base zéro à l'apprentissage de Python de Little Turtle

509845

Tutoriel d'introduction PHP base zéro

866540

Le dernier didacticiel vidéo ThinkPHP 5.1 en première mondiale (60 jours pour devenir un expert PHP en ligne)

1426940 temps d'étude

Tutoriel vidéo JAVA pour débutants

2573884 temps d'étude

Tutoriel vidéo d'introduction base zéro à l'apprentissage de Python de Little Turtle

509845 temps d'étude

Introduction rapide au développement web front-end

216214 temps d'étude

Maîtrisez les didacticiels vidéo PS à partir de zéro

898219 temps d'étude

[Web front-end] Démarrage rapide de Node.js

8160 temps d'étude

Collection complète de cours full-stack de développement Web étranger

6466 temps d'étude

Aller au langage pratique GraphQL

5379 temps d'étude

Le maître du ventilateur de 550 W apprend JavaScript à partir de zéro, étape par étape

737 temps d'étude

Le maître Python Mosh, un débutant sans aucune connaissance de base peut commencer en 6 heures

27332 temps d'étude
Derniers téléchargements
Plus>
effets Web

Code source du site Web

Matériel du site Web

Modèle frontal

[bouton de formulaire] Code de contact du formulaire de message d'entreprise jQuery

[Effets spéciaux du joueur] Effets de lecture de boîte à musique HTML5 MP3

[Navigation dans les menus] Effets spéciaux du menu de navigation d'animation de particules cool HTML5

[bouton de formulaire] Code d'édition par glisser-déposer du formulaire visuel jQuery

[Effets spéciaux du joueur] Code du lecteur de musique Kugou imitation VUE.JS

[effets spéciaux HTML5] Jeu de boîte de poussée HTML5 classique

[Effets spéciaux d'image] défilement jQuery pour ajouter ou réduire des effets d'image

[Effets d'album photo] Effet de zoom de survol de la couverture de l'album personnel CSS3

[Modèle frontal] Modèle de site Web d'entreprise de services de nettoyage et de réparation de décoration intérieure

[Modèle frontal] Modèle de page de guide de CV personnel aux couleurs fraîches

[Modèle frontal] Modèle Web de CV de travail créatif de concepteur

[Modèle frontal] Modèle de site Web d'entreprise de construction d'ingénierie moderne

[Modèle frontal] Modèle HTML5 réactif pour les établissements de services éducatifs

[Modèle frontal] Modèle de site Web de centre commercial de boutique de livres électroniques en ligne

[Modèle frontal] La technologie informatique résout le modèle de site Web d'entreprise Internet

[Modèle frontal] Modèle de site Web de service de trading de devises de style violet

[Matériau PNG] Matériau vectoriel d'éléments d'été mignons (EPS+PNG)

[Matériau PNG] Matériel vectoriel de quatre badges de graduation rouges 2023 (AI+EPS+PNG)

[image de bannière] Oiseau chantant et chariot rempli de fleurs design matériel vectoriel de bannière de printemps (AI + EPS)

[Matériau PNG] Matériau vectoriel de chapeau de graduation doré (EPS+PNG)

[Matériau PNG] Matériel vectoriel d'icône de montagne de style noir et blanc (EPS+PNG)

[Matériau PNG] Matériel vectoriel de silhouette de super-héros (EPS+PNG) avec des capes de couleurs différentes et des poses différentes

[image de bannière] Matériel vectoriel de bannière Arbor Day de style plat (AI + EPS)

[Matériau PNG] Matériel vectoriel de neuf bulles de discussion explosives de style bande dessinée (EPS+PNG)

[Modèle frontal] Modèle de site Web d'entreprise de services de nettoyage et de réparation de décoration intérieure

[Modèle frontal] Modèle de page de guide de CV personnel aux couleurs fraîches

[Modèle frontal] Modèle Web de CV de travail créatif de concepteur

[Modèle frontal] Modèle de site Web d'entreprise de construction d'ingénierie moderne

[Modèle frontal] Modèle HTML5 réactif pour les établissements de services éducatifs

[Modèle frontal] Modèle de site Web de centre commercial de boutique de livres électroniques en ligne

[Modèle frontal] La technologie informatique résout le modèle de site Web d'entreprise Internet

[Modèle frontal] Modèle de site Web de service de trading de devises de style violet
Formation PHP en ligne sur le bien-être public，Aidez les apprenants PHP à grandir rapidement！

À propos de nous Clause de non-responsabilité Sitemap

© php.cn All rights reserved