多态反序列化是处理继承结构对象序列化的常见需求,但不同 JSON 序列化库的实现机制差异会带来显著的安全风险。微软 CA2326 规则明确警示:避免使用非安全的 JsonSerializerSettings 配置(如 Newtonsoft.Json 的 TypeNameHandling 非 None 值),否则可能引发类型注入攻击。本文将对比 Newtonsoft.Json 与 System.Text.Json 在多态反序列化中的实现差异,重点分析安全性问题,并通过代码实例验证两者的安全表现。
多态反序列化的实现机制差异
Newtonsoft.Json:基于TypeNameHandling 的灵活设计
Newtonsoft.Json 通过 TypeNameHandling 配置项控制是否在 JSON 中嵌入类型元数据。当设置 TypeNameHandling 支持多态时,JSON 会携带 $type 字段(包含类型的完全限定名和程序集信息),反序列化时直接根据该字段实例化对应类型。这种设计虽然灵活支持多态,但缺乏默认的类型校验机制,攻击者可构造包含恶意类型的 JSON,触发敏感类型实例化。
System.Text.Json:多态配置的安全设计
System.Text.Json 默认不支持多态反序列化,需通过 [JsonDerivedType] 特性或 DerivedTypes 显式声明允许的派生类型。反序列化时仅处理配置过的类型,拒绝未授权的类型注入,从机制上规避了安全风险。
CA2326 规则的警示
CA2326 规则的核心是禁止使用 TypeNameHandling 非 None 值的配置 ------ 攻击者可利用 $type 字段构造恶意 JSON,实例化如 ProcessStartInfo(执行系统命令)、FileStream(读写文件)等敏感类型,引发远程代码执行或数据泄露。
代码实例验证
using Newtonsoft.Json;
using Newtonsoft.Json.Serialization;
using System.Diagnostics;
using System.Text.Json;
using System.Text.Json.Serialization;
using System.Text.Json.Serialization.Metadata;
namespace NewtonsoftSecurityDemo
{
[JsonPolymorphic(TypeDiscriminatorPropertyName = "CustomerType")]
[JsonDerivedType(typeof(PaymentCompletedEvent), "PaymentCompletedEvent")]
[JsonDerivedType(typeof(OrderCreatedEvent), "OrderCreatedEvent")]
public class TransactionEvent
{
public string EventId { get; set; } = Guid.NewGuid().ToString();
public DateTime EventTime { get; set; } = DateTime.Now;
public string OrderId { get; set; }
// 业务扩展字段(攻击者利用的入口)
public object ExtData { get; set; }
}
public class PaymentCompletedEvent : TransactionEvent
{
public decimal Amount { get; set; }
public string PaymentMethod { get; set; }
}
public class OrderCreatedEvent : TransactionEvent
{
public string UserId { get; set; }
public int ItemCount { get; set; }
}
// Newtonsoft.Json 安全绑定器(演示白名单校验)
public class EventSerializationBinder : ISerializationBinder
{
// 仅允许的安全类型白名单
private readonly HashSet<string> _allowedTypes = new()
{
"NewtonsoftSecurityDemo.PaymentCompletedEvent",
"NewtonsoftSecurityDemo.OrderCreatedEvent",
//"System.Diagnostics.ProcessStartInfo"
};
public Type BindToType(string assemblyName, string typeName)
{
// 仅允许白名单内的类型
if (!_allowedTypes.Contains(typeName))
{
throw new NotSupportedException($"禁止反序列化未授权类型:{typeName}");
}
return Type.GetType($"{typeName}, {assemblyName}") ?? typeof(TransactionEvent);
}
public void BindToName(Type serializedType, out string? assemblyName, out string? typeName)
{
assemblyName = serializedType.Assembly.FullName;
typeName = serializedType.FullName;
}
}
class Program
{
static void Main(string[] args)
{
Console.WriteLine("=== Newtonsoft.Json 命令执行攻击演示 ===");
Newtonsoft_Attack_ProcessStartInfo();
Console.WriteLine("\n=== Newtonsoft.Json 文件读取攻击演示 ===");
Newtonsoft_Attack_FileStream();
Console.WriteLine("\n=== Newtonsoft.Json 启用 SerializationBinder:安全防护演示 ===");
Newtonsoft_Secure_WithBinder();
Console.WriteLine("\n=== System.Text.Json 安全防护演示 ===");
SystemTextJson_Defense();
Console.ReadKey();
}
/// <summary>
/// 模拟:注入ProcessStartInfo执行系统命令
/// </summary>
static void Newtonsoft_Attack_ProcessStartInfo()
{
string maliciousCallbackJson = @$"
{{
""$type"": ""NewtonsoftSecurityDemo.PaymentCompletedEvent, NewtonsoftSecurityDemo"",
""EventId"": ""{Guid.NewGuid()}"",
""OrderId"": ""ORD_{new Random().Next(1000, 9999)}"",
""Amount"": 999.00,
""PaymentMethod"": ""Alipay"",
""ExtData"": {{
""$type"": ""System.Diagnostics.ProcessStartInfo,System.Diagnostics.Process"",
""FileName"": ""cmd.exe"",
""Arguments"": ""/c echo 'some scripts' > C:\\temp\\attack_log.txt && echo 'doing' >> C:\\temp\\attack_log.txt"",
""UseShellExecute"": true
}}
}}";
var settings = new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto,
};
var eventData = Newtonsoft.Json.JsonConvert.DeserializeObject<TransactionEvent>(maliciousCallbackJson, settings);
Console.WriteLine($"处理订单事件:{eventData.OrderId}");
if (eventData.ExtData is ProcessStartInfo psi)
{
Directory.CreateDirectory("C:\\temp");
Process.Start(psi);
Console.WriteLine($" [攻击成功] 执行命令:{psi.Arguments}");
Console.WriteLine($" [攻击结果] 生成文件:C:\\temp\\attack_log.txt 文件内容:");
if (File.Exists("C:\\temp\\attack_log.txt"))
{
string content = File.ReadAllText("C:\\temp\\attack_log.txt");
Console.WriteLine($"{content}");
}
}
}
/// <summary>
/// 模拟:注入FileInfo读取敏感文件
/// </summary>
static void Newtonsoft_Attack_FileStream()
{
string targetFile = Path.Combine(Environment.GetFolderPath(Environment.SpecialFolder.Desktop), "appsettings.json");
if (!File.Exists(targetFile))
{
File.WriteAllText(targetFile, "ConnectionString: 123456");
}
string maliciousExportJson = @$"
{{
""$type"": ""NewtonsoftSecurityDemo.OrderCreatedEvent, NewtonsoftSecurityDemo"",
""OrderId"": ""ORD_{new Random().Next(1000, 9999)}"",
""UserId"": ""user_{new Random().Next(100, 999)}"",
""ExtData"": {{
""$type"": ""System.IO.FileInfo"",
""FileName"": ""{targetFile.Replace("\\", "\\\\")}""
}}
}}";
var settings = new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto
};
var eventData = Newtonsoft.Json.JsonConvert.DeserializeObject<TransactionEvent>(maliciousExportJson, settings);
Console.WriteLine($"处理订单导出:{eventData.OrderId}");
// 通过FileInfo读取文件内容(模拟攻击逻辑)
if (eventData.ExtData is FileInfo fileInfo)
{
using (var sr = new StreamReader(fileInfo.OpenRead()))
{
string sensitiveContent = sr.ReadToEnd();
Console.WriteLine($" [攻击成功] 读取敏感文件内容:\n{sensitiveContent}");
}
}
}
/// <summary>
/// Newtonsoft.Json 启用SerializationBinder:拦截恶意类型
/// </summary>
static void Newtonsoft_Secure_WithBinder()
{
string maliciousCallbackJson = @$"
{{
""$type"": ""NewtonsoftSecurityDemo.PaymentCompletedEvent, NewtonsoftSecurityDemo"",
""EventId"": ""{Guid.NewGuid()}"",
""OrderId"": ""ORD_{new Random().Next(1000, 9999)}"",
""Amount"": 999.00,
""PaymentMethod"": ""Alipay"",
""ExtData"": {{
""$type"": ""System.Diagnostics.ProcessStartInfo,System.Diagnostics.Process"",
""FileName"": ""cmd.exe"",
""Arguments"": ""/c echo 'some scripts' > C:\\temp\\attack_log.txt && echo 'doing' >> C:\\temp\\attack_log.txt"",
""UseShellExecute"": true
}}
}}";
var settings = new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto,
SerializationBinder = new EventSerializationBinder() // 启用白名单校验
};
try
{
var eventData = Newtonsoft.Json.JsonConvert.DeserializeObject<TransactionEvent>(maliciousCallbackJson, settings);
if (eventData.ExtData is ProcessStartInfo)
{
Console.WriteLine(" [防护失效] 恶意类型未被拦截(异常)");
}
}
catch (Exception ex)
{
Console.WriteLine($" [防护成功] 拦截未授权类型:{ex.Message}");
}
}
/// <summary>
/// System.Text.Json 安全防护验证
/// </summary>
static void SystemTextJson_Defense()
{
string maliciousCallbackJson = @$"
{{
""CustomerType"": ""PaymentCompletedEvent"",
""EventId"": ""{Guid.NewGuid()}"",
""OrderId"": ""ORD_{new Random().Next(1000, 9999)}"",
""Amount"": 999.00,
""PaymentMethod"": ""Alipay"",
""ExtData"": {{
""$type"": ""System.Diagnostics.ProcessStartInfo,System.Diagnostics.Process"",
""FileName"": ""cmd.exe"",
""Arguments"": ""/c echo 'some scripts' > C:\\temp\\attack_log.txt && echo 'doing' >> C:\\temp\\attack_log.txt"",
""UseShellExecute"": true
}}
}}";
var eventData = System.Text.Json.JsonSerializer.Deserialize<TransactionEvent>(maliciousCallbackJson);
Console.WriteLine($" 主对象类型:{eventData.GetType().FullName}");
Console.WriteLine($" ExtData 实际类型:{eventData.ExtData.GetType().FullName}");
if (eventData.ExtData is JsonElement)
{
Console.WriteLine(" [防护成功] 恶意类型ProcessStartInfo被拦截,ExtData仅保留原始JSON结构,未反序列化为恶意对象");
}
else if (eventData.ExtData is ProcessStartInfo)
{
Console.WriteLine(" [防护失效] 恶意类型解析成功");
}
else
{
Console.WriteLine($" [正常业务] 解析到合法类型:{eventData.ExtData.GetType().FullName}");
}
Console.WriteLine("\n尝试转换ExtData为ProcessStartInfo:");
try
{
var psi = (ProcessStartInfo)eventData.ExtData;
Console.WriteLine(" [防护失效] 恶意类型解析成功");
}
catch (InvalidCastException ex)
{
Console.WriteLine($" [防护成功] 强制转换失败,原因:{ex.Message}");
}
}
}
}运行结果为:
通过 Demo 可以发现:
- Newtonsoft 无防护时攻击成功;
- Newtonsoft 启用 SerializationBinder 后拦截了恶意类型;
- System.Text.Json 始终拦截恶意类型,ExtData 为 JsonElement,无法转换为 ProcessStartInfo。
为什么 Newtonsoft.Json 启用 SerializationBinder 可降低风险?
先看代码:
public class EventSerializationBinder : ISerializationBinder
{
// 仅允许的安全类型白名单
private readonly HashSet<string> _allowedTypes = new()
{
"NewtonsoftSecurityDemo.PaymentCompletedEvent",
"NewtonsoftSecurityDemo.OrderCreatedEvent",
//"System.Diagnostics.ProcessStartInfo"
};
public Type BindToType(string assemblyName, string typeName)
{
// 仅允许白名单内的类型
if (!_allowedTypes.Contains(typeName))
{
throw new NotSupportedException($"禁止反序列化未授权类型:{typeName}");
}
return Type.GetType($"{typeName}, {assemblyName}") ?? typeof(TransactionEvent);
}
public void BindToName(Type serializedType, out string? assemblyName, out string? typeName)
{
assemblyName = serializedType.Assembly.FullName;
typeName = serializedType.FullName;
}
}SerializationBinder 的核心作用是:接管从 JSON 中的 $type 字符串 到实际 Type 类型的映射过程,强制校验类型合法性。简单说:
- 无 SerializationBinder:反序列化器会无条件反射创建 $type 指定的任意类型,包括危险类型;
- 有 SerializationBinder:反序列化器必须经过你的自定义校验逻辑,仅允许白名单内的类型被实例化,直接阻断恶意类型的创建。
小结
Newtonsoft.Json 的 TypeNameHandling 机制虽灵活,但易被利用触发安全漏洞;System.Text.Json 通过显式多态配置白名单的设计,规避了类型注入风险。
在实际开发中,针对多态场景,建议优先使用 System.Text.Json。若必须使用 Newtonsoft.Json,需遵循以下安全实践:
- 避免使用 TypeNameHandling 非 None 值。
- 若必须启用,需严格校验 $type 字段类型的合法性,仅允许安全类型。
我希望您喜欢这篇文章,并一如既往地感谢您阅读并与朋友和同事分享我的文章。
