Friday, 31 May 2024

OWASP - Unsafe Deserialization

 OWASP - Unsafe Deserialization解法思考

===============================


1. 正則表達式Regex.Match 過濾

2. 將傳回值 Deserialize成JArray物件,再逐一取JObjet之欄位值,組回原格式

3. 加入判斷 if((this.ui_hidMassageInfos.Value.StartsWith("[") && this.ui_hidMassageInfos.Value.EndsWith("]")) ||

(this.ui_hidMassageInfos.Value.StartsWith("{") && this.ui_hidMassageInfos.Value.EndsWith("}")))

4. Deserialize加一個Setting參數 new JsonSerializerSettings { TypeNameHandling = TypeNameHandling.None });

5. 將前端輸入字串加密為base64字串,再到後端解密

===================================

上述這5個方法對 Unsafe Deserialization 此 弱點無解

No comments:

Post a Comment

群益台灣精選高息ETF基金(00919)」指數編製原則調整說明

本公司經理之「群益台灣精選高息(證券代號:00919)」(以下稱本基金)所追蹤之標的指數「臺灣指數公司特選臺灣上市上櫃精選高息指數」部分指數編製規則異動,業經金融監督管理委員會以中華民國(以下同)114年4月23日金管證投字第1140339355號函備查在案,標的指數成分股檔數由...