1. 首頁
  2. 問答
  3. Newtonsoft JSON.NET安全漏洞實現

Newtonsoft JSON.NET安全漏洞實現

2017-08-14 247 views
7

最近公開的有關.NET中序列化的安全漏洞有不明確的建議。 什麼是安全使用JSON.NET的正確方法?Newtonsoft JSON.NET安全漏洞實現

詳細的指導JSON.NET:https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf#page=5

應該TypeNameHandling.All使用或應使用TypeNameHandling.None?

一般說明:https://www.bleepingcomputer.com/news/security/severe-deserialization-issues-also-affect-net-not-just-java/

來源

2017-08-14 KPHutt

+1

相關:[類型名稱在Newtonsoft Json中謹慎處理](https://stackoverflow.com/q/39565954/3744182)。 – dbc

回答

2

那麼出現的答案是正確的,在documentation我的面前:

「傳入類型的無以外的值反序列化時,應使用自定義SerializationBinder進行驗證。」

來源

2017-08-14 14:57:53 KPHutt

相關問題

 相關問題