コミュニティ

学ぶ

ツールライブラリ

AIツール

レジャー

日本語

ホームページ > バックエンド開発 > C++ > Json.Net の TypeNameHandling を使用して外部ソースからの JSON 逆シリアル化を保護するにはどうすればよいですか?

Json.Net の TypeNameHandling を使用して外部ソースからの JSON 逆シリアル化を保護するにはどうすればよいですか?

Linda Hamilton

リリース： 2025-01-07 14:12:40

オリジナル

145 人が閲覧しました

How Can I Secure My JSON Deserialization from External Sources Using Json.Net's TypeNameHandling?

Json.Net TypeNameHandling Auto による外部 JSON の脆弱性

Json.Net の TypeNameHandling 自動設定により、信頼できない JSON を逆シリアル化するときにセキュリティリスクが発生する可能性があります。ソース。ただし、これらのリスクは特定のガイドラインに従うことで軽減できます。

タイプセーフティと攻撃ガジェット

TypeNameHandling を悪用した攻撃は、悪意のあるアクションを実行する「攻撃ガジェット」の構築に依存しています。インスタンス化または初期化時に。 Json.Net は、逆シリアル化された型と予期される型との互換性を検証することで、これらの攻撃から保護します。

脆弱性条件

ターゲットに明示的なオブジェクトまたは動的メンバーがない場合クラスはリスクを軽減しますが、安全性を完全に保証するものではありません。潜在的な脆弱性は、次のシナリオで発生する可能性があります:

型なしコレクション: 型なしコレクション (List
など) を逆シリアル化すると、コレクションアイテム内に攻撃ガジェットの余地が残ります。
コレクションベース実装: CollectionBase タイプは実行時にのみアイテムタイプを検証できるため、潜在的な脆弱性ウィンドウが作成されます。

共有ベースタイプ/インターフェイス: 攻撃ガジェットと基本タイプまたはインターフェイスを共有するタイプは継承できます。脆弱性。

Iシリアル化可能インターフェイス: ISerializable を実装する型の逆シリアル化により、型なしメンバーの逆シリアル化が可能になる場合があります。

条件付きシリアル化: ShouldSerializeAttribute メソッドでマークされたメンバーは、明示的でない場合でも逆シリアル化できます。

リスクの軽減

リスクを最小限に抑えるには、次の推奨事項に従うことが重要です:
- TypeNameHandling を使用する可能な場合はなし。
- 検証するカスタム SerializationBinder を実装する
- DefaultContractResolver.IgnoreSerializableAttribute を true に設定して、[Serializable] 属性を無視することを検討してください。
- 逆シリアル化してはいけないすべてのオブジェクトメンバーが ShouldSerializeAttribute でマークされていることを確認してください。メソッドが戻るfalse.
これらのガイドラインに従うことで、TypeNameHandling auto が存在する場合でも、攻撃のリスクを大幅に軽減しながら、JSON を安全に逆シリアル化することができます。
以上がJson.Net の TypeNameHandling を使用して外部ソースからの JSON 逆シリアル化を保護するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース：php.cn

前の記事：複雑な WinForms レイアウト内の 37 個のテキストボックスに値を効率的に割り当てるにはどうすればよいですか? 次の記事：逆シリアル化を特定の型に制限している場合でも、Json.Net の「TypeNameHandling.Auto」を使用した自動 JSON 逆シリアル化は安全ですか?

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題

function_exists() はカスタム関数を決定できません Function test () {return true;} if (function_exists ('test')) {echo "テストは関数です";

から 2024-04-29 11:01:01

0

3

2420

Google Chromeのモバイル版を表示する方法こんにちは、先生、Google Chrome をモバイル版に変更するにはどうすればよいですか?

から 2024-04-23 00:22:19

0

11

2550

子ウィンドウは親ウィンドウを操作しますが、出力は応答しません。最初の 2 つの文は実行可能ですが、最後の文は実装できません。

から 2024-04-19 15:37:47

0

1

2160

親ウィンドウには出力がありません document.onclick = function(){ window.opener.document.write('私は子ウィンドウの出力です');

から 2024-04-18 23:52:34

0

1

2039

CSS マインドマッピングに関するコースウェアはどこにありますか? コースウェア

から 2024-04-16 10:10:18

0

0

2128
関連トピック
詳細>
人気のおすすめ
C++ 構文エラーを解決する方法: 「';' トークンの前に主式が必要です」

C++ 構文エラーを解決する方法: 「',' トークンの前に主式が必要です」

C++ コンパイルエラー: 識別子が宣言されていません。解決方法は?

C++ エラー: 識別子が見つかりません。どうすればよいですか?

C++ エラー: 変数が初期化されていません。解決方法は?
人気のチュートリアル
詳細>
関連するチュートリアル

人気のおすすめ

最新のコース

最新の ThinkPHP 5.1 ワールドプレミアビデオチュートリアル (PHP エキスパートになるための 60 日間のオンライントレーニングコース)

1426937

PHP 入門チュートリアル 1: 1 週間で PHP を学ぶ

4276707

JAVA 初心者向けビデオチュートリアル

2573869

Little Turtle のゼロベースの Python 学習入門ビデオチュートリアル

509843

PHP ゼロベースの入門チュートリアル

866538

最新の ThinkPHP 5.1 ワールドプレミアビデオチュートリアル (PHP エキスパートになるための 60 日間のオンライントレーニングコース)

1426937 回の学習

JAVA 初心者向けビデオチュートリアル

2573869 回の学習

Little Turtle のゼロベースの Python 学習入門ビデオチュートリアル

509843 回の学習

Web フロントエンド開発の簡単な紹介

216214 回の学習

PSビデオチュートリアルをゼロからマスターする

898217 回の学習

[Web フロントエンド] Node.js クイックスタート

8160 回の学習

海外のWeb開発フルスタックコースの完全なコレクション

6466 回の学習

Go言語実践GraphQL

5379 回の学習

550W ファンマスターが JavaScript をゼロから段階的に学習します

737 回の学習

Python マスター Mosh、基礎知識ゼロの初心者でも 6 時間で始められる

27332 回の学習
最新のダウンロード
詳細>
ウェブエフェクト

公式サイト

サイト素材

フロントエンドテンプレート

[フォームボタン] jQuery エンタープライズメッセージフォームの連絡先コード

[プレイヤーの特殊効果] HTML5 MP3 オルゴール再生効果

[メニューナビゲーション] HTML5 クールなパーティクルアニメーションナビゲーションメニューの特殊効果

[フォームボタン] jQuery ビジュアルフォームのドラッグアンドドロップ編集コード

[プレイヤーの特殊効果] VUE.JS 模倣 Kugou 音楽プレーヤーコード

[html5特殊効果] 古典的な HTML5 プッシュボックスゲーム

[画像の特殊効果] 画像効果を追加または削減するための jQuery スクロール

[フォトアルバム効果] CSS3 個人アルバムカバーホバーズーム効果

[フロントエンドテンプレート] 室内装飾クリーニングおよび修理サービス会社のウェブサイトのテンプレート

[フロントエンドテンプレート] フレッシュカラーの個人履歴書ガイドページテンプレート

[フロントエンドテンプレート] デザイナーのクリエイティブな仕事の履歴書 Web テンプレート

[フロントエンドテンプレート] 現代のエンジニアリング建設会社のウェブサイトのテンプレート

[フロントエンドテンプレート] 教育サービス機関向けのレスポンシブ HTML5 テンプレート

[フロントエンドテンプレート] オンライン電子書籍ストアモールのウェブサイトテンプレート

[フロントエンドテンプレート] IT テクノロジーがインターネット企業の Web サイトテンプレートを解決します

[フロントエンドテンプレート] パープルスタイル外国為替取引サービスウェブサイトテンプレート

[PNG素材] かわいい夏の要素のベクター素材 (EPS+PNG)

[PNG素材] 4 つの赤い 2023 卒業バッジベクター素材 (AI+EPS+PNG)

[バナー画像] 歌う鳥と花がいっぱいのカートデザイン春のバナーベクター素材（AI+EPS）

[PNG素材] 金色の卒業帽ベクター素材（EPS+PNG）

[PNG素材] 黒と白のスタイルの山アイコンベクター素材 (EPS+PNG)

[PNG素材] 異なる色のマントと異なるポーズを持つスーパーヒーローのシルエットベクター素材（EPS+PNG）

[バナー画像] フラットスタイルの植樹祭バナーベクター素材 (AI+EPS)

[PNG素材] 9つのコミックスタイルの爆発するチャットバブルベクター素材（EPS+PNG）

[フロントエンドテンプレート] 室内装飾クリーニングおよび修理サービス会社のウェブサイトのテンプレート

[フロントエンドテンプレート] フレッシュカラーの個人履歴書ガイドページテンプレート

[フロントエンドテンプレート] デザイナーのクリエイティブな仕事の履歴書 Web テンプレート

[フロントエンドテンプレート] 現代のエンジニアリング建設会社のウェブサイトのテンプレート

[フロントエンドテンプレート] 教育サービス機関向けのレスポンシブ HTML5 テンプレート

[フロントエンドテンプレート] オンライン電子書籍ストアモールのウェブサイトテンプレート

[フロントエンドテンプレート] IT テクノロジーがインターネット企業の Web サイトテンプレートを解決します

[フロントエンドテンプレート] パープルスタイル外国為替取引サービスウェブサイトテンプレート
福祉オンライン PHP トレーニング，PHP 学習者の迅速な成長を支援します！

私たちについて免責事項 Sitemap

© php.cn All rights reserved