Desinfección de deserialización de JSON

1

Actualmente estoy investigando las mejores prácticas para la deserialización JSON segura de entradas no confiables para la asignación de objetos. Después de investigar, parece que ...

el mapeador de jackson predeterminado: enlace

y OWASP JSON desinfectante enlace

... ambos logran lo que estoy buscando. Desde una perspectiva de seguridad, ¿hay alguna razón para usar el desinfectante JSON OWASP si ya estamos usando el mapeador de objetos jackson?

    
pregunta Frostbyte 25.10.2018 - 18:51
fuente

1 respuesta

1

De acuerdo con Vulnerabilidades de Deserialización de Jackson del grupo NCC: a / p>

  

Jackson no realiza la escritura de forma predeterminada (incluida la colección genérica   tipos) y no permite la especificación de tipos arbitrarios

Además del enlace que proporcionó, OWASP tiene una página en Deserialización de datos no confiables que explica cómo manejarlos. tipos.

    
respondido por el clairestreb 25.10.2018 - 21:06
fuente

Lea otras preguntas en las etiquetas