Adakah Penyahserikatan JSON Automatik dengan `TypeNameHandling.Auto` Json.Net Selamat, Walaupun Apabila Mengehadkan Penyahserikatan kepada Jenis Tertentu?

Bolehkah JSON Luaran Terdedah Kerana Json.Net TypeNameHandling Auto?

Masalah:

Dalam aplikasi tapak web di mana pengguna memuat naik objek JSON tersuai, adalah penting untuk diketahui potensi ancaman yang timbul daripada penyahserikatan jenis JSON automatik. Persoalannya ialah sama ada penyahserikatan jenis automatik terdedah kepada kelemahan jika satu-satunya jenis penyahseririan ialah jenis tertentu (cth., MyObject) dan tiada ahli MyObject mempunyai jenis System.Object atau dinamik.

Jawapan:

Walaupun mematuhi syarat-syarat ini dengan ketara mengurangkan risiko, ia tidak menjamin perlindungan yang lengkap. Tetapan TypeNameHandling Json.Net, apabila ditetapkan kepada Auto, berpotensi membuat objek berdasarkan maklumat "$type" walaupun tiada medan sepadan wujud dalam MyObject.

Penjelasan Terperinci:

Serangan yang menyasarkan Json.Net mengeksploitasi tetapan TypeNameHandling untuk membina "alat serangan" - objek direka untuk menjejaskan sistem penerima. Mekanisme perlindungan Json.Net termasuk mengabaikan sifat yang tidak diketahui dan menyemak keserasian jenis. Walau bagaimanapun, terdapat senario di mana alat serangan boleh dibina walaupun tanpa sebarang ahli yang tidak ditaip yang jelas:

• Penyahserialisasian koleksi yang tidak ditaip (cth., ArrayList, Senarai)
• Penyahserialisasian koleksi separuh taip (cth., CollectionBase)
• Penyahserikatan jenis yang melaksanakan ISerializable (cth., Exception)
• Penyahserikatan jenis dengan pensirilan bersyarat ahli (cth., public object tempData; public bool ShouldSerializeTempData() { return false; })

Syor:

• Berhati-hati: TypeNameHandling hendaklah digunakan secara berhemat apabila menyahsiri JSON luaran dan adat SerializationBinder disyorkan untuk pengesahan.
• Semak Model Data: Pastikan tiada jenis ahli adalah objek, dinamik atau serasi dengan alat serangan.
• Pertimbangkan Pengikat Siri: Laksanakan SerializationBinder tersuai untuk mengawal jenis yang mana dinyahsiri.

Kesimpulannya, walaupun syarat yang disediakan dapat mengurangkan risiko dengan ketara, adalah penting untuk ambil perhatian bahawa ia tidak menjamin keselamatan yang lengkap. Tetapan Auto TypeNameHandling Json.Net mungkin masih berpotensi memudahkan penciptaan alat serangan, memerlukan langkah berjaga-jaga tambahan seperti pengikat bersiri tersuai.

Atas ialah kandungan terperinci Adakah Penyahserikatan JSON Automatik dengan `TypeNameHandling.Auto` Json.Net Selamat, Walaupun Apabila Mengehadkan Penyahserikatan kepada Jenis Tertentu?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!