Goパーサーのセキュリティリスク:JSON、XML、YAMLにおける予期せぬ動作の悪用
2025-06-21
GoのJSON、XML、YAMLパーサーにはセキュリティリスクがあり、攻撃者は予期せぬ動作を悪用して認証をバイパスし、認可制御を回避し、機密データを漏洩させる可能性があります。この記事では、3つの攻撃シナリオを詳しく説明します。(1)予期しないデータの(アン)マーシャリング:開発者が非公開にすることを意図したデータの公開、(2)パーサーの差異:複数のサービスが同じ入力を解析する場合のパーサー間の矛盾によって攻撃者がセキュリティ制御を回避できること、(3)データ形式の混乱:パーサーがクロスフォーマットのペイロードを驚くべき、そして悪用可能な結果で処理する方法。軽減策としては、`DisallowUnknownFields`の使用や、Go標準ライブラリの脆弱性を補うカスタム関数の作成などがあります。
開発