Jsoniter参数走私浅析<\/h1>

1. Jsoniter简介<\/h2>
Jsoniter(Json-iterator)是一个高性能的JSON解析库，为Java和Go语言提供了简单而高效的API来进行JSON的序列化和反序列化操作。相比标准库，Jsoniter在性能上有显著优势，但也带来了一些潜在的安全风险。<\/p>

2. 参数走私原理<\/h2>

参数走私(Parameter Smuggling)是指利用不同组件对输入数据解析的差异，构造特殊输入使系统产生不一致的解析结果，从而绕过安全检查或产生非预期行为。<\/p>

在Jsoniter中，参数走私主要源于其对JSON数据的宽松解析策略，特别是：<\/p>

对重复键的处理<\/li>
对注释的支持<\/li>
对尾随逗号的容忍<\/li>

对非标准JSON格式的解析<\/li> <\/ul>

3. Jsoniter特有的参数走私场景<\/h2>

3.1 重复键处理<\/h3>

Jsoniter默认情况下会保留最后一个出现的键值对，而其他解析器可能保留第一个或抛出异常。<\/p>

攻击示例：<\/p>

{
<\/span><\/span>    "user"<\/span>: "admin"<\/span>,
<\/span><\/span>    "user"<\/span>: "guest"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>不同解析器可能得到不同的user<\/code>值，可能导致权限绕过。<\/p>
3.2 注释支持<\/h3>
Jsoniter支持JavaScript风格的注释，而标准JSON规范不支持。<\/p>
攻击示例：<\/p>
{
<\/span><\/span>    "user"<\/span>: "admin"<\/span> \/*<\/span> 这是管理员<\/span> *\/<\/span>,
<\/span><\/span>    "role"<\/span>: "user"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>如果前端过滤了role<\/code>字段但后端支持注释，攻击者可构造：<\/p>
{
<\/span><\/span>    "user"<\/span>: "admin"<\/span>,
<\/span><\/span>    "role"<\/span>: "admin"<\/span> \/*<\/span>,
<\/span><\/span>    "role"<\/span>: "user"<\/span> *\/<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>3.3 尾随逗号<\/h3>
Jsoniter允许对象和数组中的尾随逗号，而严格解析器会拒绝。<\/p>
攻击示例：<\/p>
{
<\/span><\/span>    "user"<\/span>: "admin"<\/span>,
<\/span><\/span>    "role"<\/span>: "user"<\/span>,
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>可能被某些WAF忽略，但Jsoniter会正常解析。<\/p>
3.4 非标准数字格式<\/h3>
Jsoniter支持十六进制、八进制和二进制格式的数字。<\/p>
攻击示例：<\/p>
{
<\/span><\/span>    "id"<\/span>: 0<\/span>x<\/span>10<\/span>,  \/\/ 16
<\/span><\/span><\/span><\/span>    "permission"<\/span>: 010<\/span>  \/\/ 8
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>可能导致类型混淆或数值误解。<\/p>
3.5 单引号字符串<\/h3>
Jsoniter支持单引号字符串，而标准JSON只支持双引号。<\/p>
攻击示例：<\/p>
{
<\/span><\/span>    'user':<\/span> 'admin'<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>可能绕过基于标准JSON的输入验证。<\/p>
4. 防御措施<\/h2>
4.1 配置严格模式<\/h3>
JsonIterator iter =<\/span> JsonIterator.<\/span>parse<\/span>(<\/span>json);<\/span>
<\/span><\/span>iter.<\/span>config<\/span>(<\/span>Feature.<\/span>AllowComment<\/span>,<\/span> false<\/span>);<\/span>
<\/span><\/span>iter.<\/span>config<\/span>(<\/span>Feature.<\/span>AllowSingleQuotes<\/span>,<\/span> false<\/span>);<\/span>
<\/span><\/span>iter.<\/span>config<\/span>(<\/span>Feature.<\/span>AllowTrailingComma<\/span>,<\/span> false<\/span>);<\/span>
<\/span><\/span><\/code><\/pre>4.2 输入验证<\/h3>

使用标准JSON解析器进行初步验证<\/li>
对关键字段进行白名单验证<\/li>
检查JSON结构的规范性<\/li>
<\/ul>
4.3 输出编码<\/h3>
在将JSON数据传递给其他组件前，使用严格模式重新序列化：<\/p>
String safeJson =<\/span> JsonStream.<\/span>serialize<\/span>(<\/span>obj);<\/span>
<\/span><\/span><\/code><\/pre>4.4 上下文感知<\/h3>
根据使用场景配置不同的解析策略：<\/p>

内部API可以宽松<\/li>
外部接口必须严格<\/li>
<\/ul>
5. 实际案例分析<\/h2>
5.1 权限绕过<\/h3>
假设系统通过JSON中的role<\/code>字段进行权限检查：<\/p>
{
<\/span><\/span>    "user"<\/span>: "alice"<\/span>,
<\/span><\/span>    "role"<\/span>: "user"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>攻击者可构造：<\/p>
{
<\/span><\/span>    "user"<\/span>: "alice"<\/span>,
<\/span><\/span>    "role"<\/span>: "user"<\/span>,
<\/span><\/span>    "role"<\/span>: "admin"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>Jsoniter会取最后一个role<\/code>值"admin"，可能导致权限提升。<\/p>
5.2 WAF绕过<\/h3>
假设WAF过滤<script><\/code>标签：<\/p>
{
<\/span><\/span>    "content"<\/span>: "<script>alert(1)<\/script>"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>攻击者可利用注释：<\/p>
{
<\/span><\/span>    "content"<\/span>: "<scr"<\/span> +<\/span> "ipt>alert(1)<\/script>"<\/span>,
<\/span><\/span>    "content"<\/span>: "safe text"<\/span> \/*<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>6. 测试方法<\/h2>

发送包含重复键的JSON，观察行为<\/li>
尝试使用注释、尾随逗号等非标准格式<\/li>
比较不同解析器的输出差异<\/li>
检查宽松解析是否导致安全控制失效<\/li>
<\/ol>
7. 总结<\/h2>
Jsoniter的高性能特性带来了潜在的安全风险，特别是在异构系统中，不同组件使用不同解析器时。开发者应当：<\/p>

了解使用的JSON解析器的特性<\/li>
在安全敏感场景使用严格模式<\/li>
实施多层防御，不依赖单一安全控制<\/li>
定期审计JSON处理逻辑的安全性<\/li>
<\/ol>
通过合理配置和防御措施，可以在享受Jsoniter性能优势的同时避免参数走私风险。<\/p>

Jsoniter参数走私浅析<\/h1>

1. Jsoniter简介<\/h2> Jsoniter(Json-iterator)是一个高性能的JSON解析库，为Java和Go语言提供了简单而高效的API来进行JSON的序列化和反序列化操作。相比标准库，Jsoniter在性能上有显著优势，但也带来了一些潜在的安全风险。<\/p>

3. Jsoniter特有的参数走私场景<\/h2>

4. 防御措施<\/h2>

5. 实际案例分析<\/h2>

1. Jsoniter简介<\/h2>
Jsoniter(Json-iterator)是一个高性能的JSON解析库，为Java和Go语言提供了简单而高效的API来进行JSON的序列化和反序列化操作。相比标准库，Jsoniter在性能上有显著优势，但也带来了一些潜在的安全风险。<\/p>