Dot-Net

Newtonsoft JSON.NET 安全漏洞實現

  • August 19, 2019

最近曝光的有關 .NET 中序列化的安全漏洞有模棱兩可的建議。安全使用 JSON.NET 的正確方法是什麼?

JSON.NET 的詳細指南:https ://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf#page=5

應該使用TypeNameHandling.All還是應該使用TypeNameHandling.None

一般說明:https ://www.bleepingcomputer.com/news/security/severe-deserialization-issues-also-affect-net-not-just-java/

看來答案就在我面前的文件中:

“在使用 None 以外的值反序列化時,應使用自定義 SerializationBinder 驗證傳入類型。”

引用自:https://stackoverflow.com/questions/45676566

相關問答

Dot-Net

用 Newtonsoft Json.Net json 序列化器替換 WCF 內置的 JavascriptSerializer

  • December 30, 2021
檢視問答
Dot-Net

可以使用 JSONPath 搜尋不區分大小寫嗎?

  • July 25, 2021
檢視問答
Dot-Net

在 Json.NET 中查找任何節點

  • May 8, 2021
檢視問答
Dot-Net

使用 json.net 反序列化對象列表

  • February 22, 2021
檢視問答
Dot-Net

在輸入 json 中處理將 {null} 轉換為類型 system.Int32 的錯誤

  • July 21, 2020
檢視問答
Dot-Net

在 WCF 中 JSON 序列化 .NET DataTable 的最佳方法是什麼?

  • March 10, 2017
檢視問答