web-dev-qa-db-ja.com

JSON逆シリアル化のサニタイズ

現在、オブジェクトマッピングの信頼できない入力の安全なJSON逆シリアル化のベストプラクティスを調査しています。調べてみると….

デフォルトのジャクソンマッパー: https://stackoverflow.com/questions/45846083/using-jackson-Java-to-ensure-that-and-all-serialization-to-json-delimits-untrust

およびOWASP JSONサニタイザー https://www.owasp.org/index.php/OWASP_JSON_Sanitizer

...私が探しているものを両方とも達成する。セキュリティの観点から、すでにjacksonオブジェクトマッパーを使用している場合、OWASP JSONサニタイザーを使用する理由はありますか?

3
Frostbyte

NCCグループの Jackson逆シリアル化の脆弱性 によると:

ジャクソンは、デフォルトではタイプを実行せず(コレクションのジェネリック型を含む)、任意の型の指定を許可していません

あなたが与えたリンクのほかに、OWASPには 信頼できないデータの非直列化 に関するページがあり、タイプの処理方法を説明しています。

2
clairestreb