L'analisi di un oggetto JSON inviato è sicura?

1

Ho un'API RESTful, costruita in NODE.js che fa ciò che ti aspetteresti: consuma dati e quindi rende accessibile. Attualmente, i dati inviati al mio server sono dati dei moduli annidati:

data[0][username]=...
data[0][email]=...
data[0][phone]=...
...
data[12][username]=...
data[12][email]=...
data[12][phone]=...

o come stringa di query

data[0][username]=...&data[0][email]=...&data[0][phone]=...

SO quando lo analizzo sul server, ottengo una matrice JS di oggetti con quei particolari campi. Quello che mi chiedo è, è sicuro per me accettare una stringa che posso JSON.parse e processarla?

data=(some stringified json object)

Non sono sicuro che sia possibile includere codice dannoso o qualcosa nell'oggetto JSON che potrebbe far esplodere il mio server una volta eseguito un parser

Grazie.

    
posta rpaskett 02.04.2014 - 04:18
fonte

1 risposta

5

La rappresentazione JSON può essere densa, certamente più densa di una lista di proprietà piatte, quindi l'esaurimento della memoria e il denial of service potrebbero essere leggermente più semplici.

Oltre a questo, supponendo che il parser JSON sia a prova di proiettile, si rimane praticamente gli stessi attacchi che possono essere indirizzati a un punto di ingresso basato su form-data o stringa di stringhe, principalmente vari tipi di attacchi di iniezione di stringhe: iniezione SQL , iniezione client JavaScript e così via.

    
risposta data 02.04.2014 - 05:07
fonte

Leggi altre domande sui tag