Newtonsoft JSON.NET An ninh lỗ hổng bảo mật thực hiện

Question

Các lỗ hổng bảo mật được tiếp cận gần đây liên quan đến tuần tự hóa trong .NET có các khuyến nghị mơ hồ. Cách chính xác để sử dụng JSON.NET một cách an toàn là gì?

hướng dẫn

chi tiết cho JSON.NET: https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf#page=5

nên TypeNameHandling.All được sử dụng hoặc nên TypeNameHandling.None được sử dụng?

Giải thích chung: https://www.bleepingcomputer.com/news/security/severe-deserialization-issues-also-affect-net-not-just-java/

Answer 1

Vâng xuất hiện câu trả lời là ngay trước mặt tôi trong documentation: "loại Incoming nên được xác nhận với một SerializationBinder tùy chỉnh khi deserializing với một giá trị khác hơn là Không"