mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00

Translator de7edf53f3 Translated ['src/AI/AI-llm-architecture/1.-tokenizing.md', 'src/AI/AI-ll

2025-07-08 16:51:22 +00:00

JSON, XML & Yaml Hacking & Issues

Go JSON デコーダ

Go JSON で以下の問題が検出されましたが、他の言語にも存在する可能性があります。これらの問題はこのブログ投稿で公開されました。

Go の JSON、XML、および YAML パーサーには、一貫性のない長い履歴と、認証をバイパス、権限を昇格、または機密データを抽出するために悪用される可能性のある不安全なデフォルトがあります。

目的は、攻撃者が機密フィールド（例：IsAdmin、Password）を読み書きできる構造体を悪用することです。

type User struct {
Username string `json:"username,omitempty"`
Password string `json:"password,omitempty"`
IsAdmin  bool   `json:"-"`
}

type User struct {
Username string
}

ペイロード:

{"Username": "admin"}

type User struct {
IsAdmin bool `json:"-,omitempty"` // ❌ wrong
}

ペイロード:

{"-": true}

✔️ フィールドを（アン）マーシャルされないようにブロックする正しい方法:

type User struct {
IsAdmin bool `json:"-"`
}

目的は、異なるパーサーが同じペイロードを異なって解釈する方法を利用して認証をバイパスすることです。例えば：

1. 重複フィールド: Goのencoding/jsonは最後のフィールドを取ります。

json.Unmarshal([]byte(`{"action":"UserAction", "action":"AdminAction"}`), &req)
fmt.Println(req.Action) // AdminAction

他のパーサー（例：JavaのJackson）は最初を取るかもしれません。

2. 大文字小文字の区別: Goは大文字小文字を区別しません：

json.Unmarshal([]byte(`{"AcTiOn":"AdminAction"}`), &req)
// matches `Action` field

ユニコードトリックも機能します:

json.Unmarshal([]byte(`{"aKtionſ": "bypass"}`), &req)

3. クロスサービスの不一致: 想像してみてください:

攻撃者が送信します:

{
"action": "UserAction",
"AcTiOn": "AdminAction"
}

目的は、フォーマット（JSON/XML/YAML）を混在させるシステムを悪用すること、またはパーサーエラーでオープンに失敗するシステムを悪用することです。例えば：

攻撃者が制御するもの：

GoのXMLパーサーはそれをとにかく解析し、注入されたアイデンティティを信頼しました。

{
"action": "Action_1",
"AcTiOn": "Action_2",
"ignored": "<?xml version=\"1.0\"?><Action>Action_3</Action>"
}

結果:

リスク	修正
不明なフィールド	`decoder.DisallowUnknownFields()`
重複フィールド (JSON)	❌ stdlib に修正なし
大文字小文字を区別しない一致	❌ stdlib に修正なし
XML ゴミデータ	❌ stdlib に修正なし
YAML: 不明なキー	`yaml.KnownFields(true)`