Sejauh Mana Selamat Penyahserialisasian JSON Anda dengan TypeNameHandling Json.Net?

Pendedahan JSON Luaran: Memahami Risiko TypeNameHandling dengan Json.Net

Deserialisasi JSON dengan pengendalian jenis automatik boleh menimbulkan ancaman keselamatan. Artikel ini bertujuan untuk menjelaskan kemungkinan kelemahan apabila menggunakan TypeNameHandling dengan tetapan ditetapkan kepada Auto dalam Json.Net.

Memahami TypeNameHandling dalam Json.Net

TypeNameHandling mengawal cara JSON. Net menyahsiri jenis dengan sifat "$type", yang menentukan sepenuhnya nama yang layak dari jenis untuk dijadikan instantiat. Apabila ditetapkan kepada Auto, Json.Net cuba menyelesaikan jenis yang ditentukan dan membina kejadian.

Potensi Bahaya

Tanpa objek segera atau ahli dinamik dalam model data anda, anda mungkin menerima perlindungan daripada serangan penyahserialisasian. Walau bagaimanapun, senario tertentu masih boleh memperkenalkan risiko:

• Koleksi Tidak Ditaip: Menyahsiri koleksi yang tidak ditaip seperti ArrayList atau List terdedah kepada serangan alat dalam item mereka.
• CollectionBase: Jenis yang diwarisi daripada CollectionBase membenarkan pengesahan item masa jalan, mewujudkan kemungkinan celah untuk pembinaan alat serangan.
• Jenis Pangkalan Dikongsi: Nilai polimorfik dengan jenis asas atau antara muka yang dikongsi oleh alat serangan ialah terdedah kepada serangan penyahserialisasian.
• Jenis Boleh Diserialisasi: Jenis yang melaksanakan ISSirialisasi boleh menyahsiri ahli yang tidak ditaip, termasuk kamus Exception.Data.
• Pensiri Bersyarat: Ahli yang ditandakan sebagai tidak bersiri melalui kaedah ShouldSerialize masih boleh dinyahsiri jika ia terdapat dalam input JSON.

Langkah-Langkah Tebatan

Untuk meningkatkan keselamatan, pertimbangkan perkara berikut:

• Pengikat Serial Tersuai: Laksanakan SerializationBinder tersuai untuk mengesahkan jenis yang dijangkakan dan mencegah penyahserikatan jenis yang tidak dijangka.
• TypeNameHandling.None: Pertimbangkan untuk menetapkan TypeNameHandling kepada None, yang secara berkesan melumpuhkan peleraian jenis semasa penyahserikatan.
• Alertness/HiddenTypness to Unexpectedness : Sentiasa berwaspada untuk ahli yang tidak ditaip atau tingkah laku bersiri tersembunyi dalam model data anda.
• Lumpuhkan Kontrak Pensirilan Lalai: Elakkan menetapkan DefaultContractResolver.IgnoreSerializableInterface atau DefaultContractResolver.IgnoreSerializableAttribute to palsu.

Kesimpulan

Walaupun mekanisme tertentu dalam Json.Net membantu mengurangkan kelemahan, adalah penting untuk mempertimbangkan dengan teliti potensi risiko yang ditimbulkan oleh TypeNameHandling dalam penyahserikan JSON luaran. Dengan mengikuti langkah berjaga-jaga yang disyorkan, seperti melaksanakan SerializationBinder tersuai dan mengesahkan penaipan model data anda, anda boleh meningkatkan keselamatan aplikasi anda sambil menggunakan ciri Json.Net.

Atas ialah kandungan terperinci Sejauh Mana Selamat Penyahserialisasian JSON Anda dengan TypeNameHandling Json.Net?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!