java json injection_Software Security | JSON Injection

最新推荐文章于 2024-01-17 11:05:59 发布
最新推荐文章于 2024-01-17 11:05:59 发布
阅读量160 收藏
点赞数
文章标签: java json injection
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30209121/article/details/114388668
版权

JSON injection 会在以下情况中出现:

1. 数据从一个不可信赖的数据源进入程序。

2. 将数据写入到 JSON 流。

应用程序通常使用 JSON 来存储数据或发送消息。用于存储数据时,JSON 通常会像缓存数据那样处理,而且可能会包含敏感信息。用于发送消息时,JSON 通常与 RESTful 服务一起使用,并且可以用于传输敏感信息,例如身份验证凭据。

如果应用程序利用未经验证的输入构造 JSON,则可以更改 JSON 文档和消息的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON 文档或请求时抛出异常。在更为严重的情况下,例如涉及 JSON Injection,攻击者可能会插入无关的元素,从而允许对 JSON 文档或请求中对业务非常关键的值执行可预见操作。还有一些情况,JSON Injection 可以导致 Cross-Site Scripting 或 Dynamic Code Evaluation。

例 1:以下 Java 代码使用 Jackson 将非特权用户(这些用户具有“默认”角色,与之相反,特权用户具有“管理员”角色)的用户帐户身份验证信息从用户控制的输入变量 username 和 password 序列化为位于 ~/user_info.json 的 JSON 文件:

...

JsonFactory jfactory = new JsonFactory();

JsonGenerator jGenerator = jfactory.createJsonGenerator(new File("~/user_info.json"), JsonEncoding.UTF8);

jGenerator.writeStartObject();

jGenerator.writeFieldName("username");

jGenerator.writeRawValue("\"" + username + "\"");

jGenerator.writeFieldName("password");

jGenerator.writeRawValue("\"" + password + "\"");

jGenerator.writeFieldName("role");

jGenerator.writeRawValue("\"default\"");

jGenerator.writeEndObject();

jGenerator.close();

但是,由于 JSON 序列化使用 JsonGenerator.writeRawValue() 来执行,将不会对 username 和 password 中的不可信赖数据进行验证以转义与 JSON 相关的特殊字符。这样,用户就可以任意插入 JSON 密钥,可能会更改已序列化的 JSON 的结构。在本例中,在设置 username 的值的提示符下输入用户名时,如果非特权用户 mallory(密码为 Evil123!)将 ","role":"admin 附加到其用户名中,则最终保存到 ~/user_info.json 的 JSON 将为:

{

"username":"mallory",

"role":"admin",

"password":"Evil123!",

"role":"default"

}

如果随后将此序列化 JSON 文件反序列化为 HashMap 对象,其中 Jackson 的 JsonParser 如下所示:

JsonParser jParser = jfactory.createJsonParser(new File("~/user_info.json"));

while (jParser.nextToken() != JsonToken.END_OBJECT) {

String fieldname = jParser.getCurrentName();

if ("username".equals(fieldname)) {

jParser.nextToken();

userInfo.put(fieldname, jParser.getText());

}

if ("password".equals(fieldname)) {

jParser.nextToken();

userInfo.put(fieldname, jParser.getText());

}

if ("role".equals(fieldname)) {

jParser.nextToken();

userInfo.put(fieldname, jParser.getText());

}

if (userInfo.size() == 3)

break;

}

jParser.close();HashMap 对象中 username、password 和 role 密钥的最终值将分别为 mallory、Evil123! 和 admin。在没有进一步验证反序列化 JSON 值是否有效的情况下,应用程序会错误地为用户分配 mallory“管理员”特权。

吕诺OK镜
关注
Introduction to Unit Testing in Java
AI天才研究院
07-28 1319
UNIT TESTING (UNIT测试),是在软件开发生命周期中不可或缺的一环。单元测试是一个模块化的测试工作,它的目标是验证某个函数、模块或者类的某个功能是否符合设计要求。它通过对代码中独立的测试用例进行运行和验证,发现错误并报告给相关人员。在单元测试中,会涉及到一些基本的概念,比如测试用例(Test Case),测试计划(Test Plan),测试环境(Test Environment)等,下面简单介绍一下这些概念和术语。1.测试用例(Test Case)
【信息收集】——3、信息收集指南
热门推荐
Fly_鹏程万里
02-26 4万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
java json injection_JSON相关漏洞(Hijacking+Injection)挖掘技巧及实战案例全汇总
weixin_36062835的博客
02-19 1072
本文一是在为测试过程中遇到json返回格式时提供测试思路,二是几乎所有国内的资料都混淆了jsonjsonp的区别——这是两种技术;以及jsonjsonphijacking的区别——这是两个漏洞,这里做个解释。1、概念1)什么是jsonjson(JavaScript Object Notation, JS 对象标记) 是一种轻量级的数据交换格式。JSON最常用的格式是对象的键值对,例如下面这样...
java json injection_Java Web实现IOC控制反转之依赖注入
weixin_32063287的博客
02-24 161
控制反转(Inversion of Control,英文缩写为IoC)是一个重要的面向对象编程的法则来削减计算机程序的耦合问题,也是轻量级的Spring框架的核心。控制反转一般分为两种类型,依赖注入(Dependency Injection,简称DI)和依赖查找(Dependency Lookup)。依赖注入应用比较广泛。本文介绍java实现一个简单的依赖注入简单而言,当你在某一个类中需要调用其他...
java json injection_JSON Injection解决方法
weixin_31264565的博客
02-19 1335
JSON Injection 解决:加 JsonSanitizer.sanitize() 进行校验(这个校验貌似可以解决很多Json相关的Fortify Issue);com.mikesamueljson-sanitizer1.0-----------------------------------------------------------------------------Issue 描述...
[20][03][05] JSON Injection
安全新司机
06-16 1140
文章目录1. 问题描述2. 问题场景3. 解决方案3.1 JsonSanitizer.sanitize 1. 问题描述 该方法会将未验证的输入写入 JSON,攻击者可以利用此调用将任意元素或属性注入 JSON 实体 2. 问题场景 JSON Injection 会在以下情况中出现 数据从一个不可信赖的数据源进入程序 将数据写入到 JSON 流 应用程序通常使用 JSON 来存储数据或发送消息,当用于存储数据时,JSON 通常会像缓存数据那样处理,而且可能包含敏感信息.当用于发送消息时,JSON 经常与
【Basic computer】-----Java Spring :Injection Objects (注入对象篇)
何新生(Daniel) 勇敢坚毅真正之才智乃刚毅之志向。 —— 拿破仑
07-27 688
Java Spring -----Injection Objects 【Abstract】      Today we are continue to talk about the java and this time we are gonna to get in the injection Objects. I am going to give you a demo a
Java架构专家
星月IWJ
08-09 447
java架构专家
基于Java的球鞋销售平台的设计与实现论文.doc
08-22
To enhance security, the platform could incorporate authentication and authorization mechanisms, such as OAuth2 or JWT (JSON Web Tokens), to protect user data and prevent unauthorized access....
SpringBoot中间件开发教程
AI天才研究院
07-30 2046
Spring Boot 是目前最流行的 Java 框架之一,它简化了Spring应用配置,方便开发人员快速入门,降低了开发难度。为了帮助开发者更好地理解Spring Boot框架中的一些组件,提高日常工作效率和开发质量,我将通过编写系列文章来分享在实际项目中使用或开发的 Spring Boot 中间件开发经验。Spring Boot 的核心设计理念是约定优于配置(Convention over Configuration),意味着很多默认配置可以直接使用而无需做任何配置。
java json injection_JSON注入—Web安全深度剖析(7)
weixin_39713335的博客
02-19 551
10.3.3 JSON注入JSON(JavaScript Object Notation)是一种轻量级的数据交换格式。它基于JavaScript的一个子集。JSON采用完全独立于语言的文本格式,但是也使用了类似于C语言家族的习惯(C、C++、C#、JavaJavaScript、Perl、Python等语言都可以使用JSON),这些特性使JSON成为理想的数据交换语言,易于开发人员阅读和编写,同...
java json injection_【缺陷周话】第40期:JSON 注入
weixin_31899235的博客
02-24 1006
1、JSON 注入JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍请参...
开发安全之:JSON Injection
最新发布
irizhao的专栏
01-17 1169
将 %22,%22role%22:%22 附加到其用户名中,并将该值传递到 username URL 参数,则最终保存到 ~/user_info.jsonJSON 将为: { "role":"default", "username":"mallory", "role":"admin", "password":"Evil123!在更为严重的情况下,例如涉及 JSON Injection,攻击者可能会插入无关的元素,从而允许对 JSON 文档或请求中对业务非常关键的值执行可预见操作。
Java injection
ii00的博客
03-10 579
Java EE提供了注入机制,使您的对象能够获取对资源和其他依赖项的引用,而无需直接实例化它们。通过使用将字段标记为注入点的注释之一来装饰字段或方法,可以在类中声明所需的资源和其他依赖项。然后容器在运行时提供所需的实例。注入简化了代码并将其与依赖项的实现分离。 资源注入 通过资源注入,您可以将JNDI名称空间中可用的任何资源注入任何容器管理的对象,例如servlet,企业bean或托管bean。例...
Java下利用Jackson进行JSON解析和序列化
weixin_34242331的博客
11-28 108
Java下常见的Json类库有Gson、JSON-lib和Jackson等,Jackson相对来说比较高效,在项目中主要使用Jackson进行JSONJava对象转换,下面给出一些Jackson的JSON操作方法。 一、准备工作 Jackson有1.x系列和2.x系列,2.x系列有3个jar包需要下载:jackson-core-2.2.3.jar(核心jar包)jackson-annotat...
java json injection_使用Jackson基于条件注入json属性
weixin_42101384的博客
02-24 349
我使用Jackson API将json格式转换为Java对象模型。我正在使用Jaxsonxml 2.1.5解析器。 json响应如下所示。使用Jackson基于条件注入json属性{"response": {"name": "states","total-records": "1","content": {"data": {"name": "OK","details": {"id": "1234"...
java json injection_在Java中强化JSON注入错误
weixin_42565652的博客
02-24 538
我从客户端获取SUBSCRIPTION_JSON,我将其转换为String,然后使用gson库将其设置为Model Object.在Fortify安全性上运行代码时,它在下面的代码中给出了Json注入错误,并带有以下消息:这是错误:On line 159 of ActionHelper.java, the method jsonToObject() writes unvalidated input...
简单的java解析json
学以致用
03-15 308
String json="{"resultcode":"200","reason":"Return Successd!","result":{"province":"北京","city":"","areacode":"010",  "zip":"100
$ip = new IPQuery(); $addr = $ip->query($ipv4); $json = json_encode($addr,JSON_UNESCAPED_UNICODE | JSON_PRETTY_PRINT); echo $json; 如何让这段PHP代码输出的json是规范格式
05-30
可以在`json_encode()`函数中添加`JSON_PRETTY_PRINT`参数,它可以让输出的json数据格式化为易读的格式,如下所示: ```php $json = json_encode($addr, JSON_UNESCAPED_UNICODE | JSON_PRETTY_PRINT); ``` 这样...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值