JSON逆シリアル化のサニタイズ
現在、オブジェクトマッピングの信頼できない入力の安全なJSON逆シリアル化のベストプラクティスを調査しています。調べてみると….
デフォルトのジャクソンマッパー: https://stackoverflow.com/questions/45846083/using-jackson-Java-to-ensure-that-and-all-serialization-to-json-delimits-untrust
およびOWASP JSONサニタイザー https://www.owasp.org/index.php/OWASP_JSON_Sanitizer
...私が探しているものを両方とも達成する。セキュリティの観点から、すでにjacksonオブジェクトマッパーを使用している場合、OWASP JSONサニタイザーを使用する理由はありますか?
NCCグループの Jackson逆シリアル化の脆弱性 によると:
ジャクソンは、デフォルトではタイプを実行せず(コレクションのジェネリック型を含む)、任意の型の指定を許可していません
あなたが与えたリンクのほかに、OWASPには 信頼できないデータの非直列化 に関するページがあり、タイプの処理方法を説明しています。