Deserializzazione JSON disinfettante

1

Attualmente sto studiando le best practice per la deserializzazione JSON sicura di input non attendibili per la mappatura degli oggetti. Dopo la ricerca, sembra che ...

il mappatore di jackson predefinito: link

e disinfettante JSON OWASP link

... entrambi realizzano ciò che sto cercando. Dal punto di vista della sicurezza, c'è un motivo per usare il disinfettante JSON OWASP se stiamo già usando jackson objectmapper?

    
posta Frostbyte 25.10.2018 - 18:51
fonte

1 risposta

1

Secondo le vulnerabilità di deserializzazione di Jackson del gruppo NCC :

Jackson does not perform typing by default (including collection generic types) and does not allow the specification of arbitrary types

Oltre al link che hai fornito, OWASP ha una pagina su Deserializzazione di dati non attendibili che spiega come gestire tipi.

    
risposta data 25.10.2018 - 21:06
fonte

Leggi altre domande sui tag