代码审计是使用静态分析发现源代码中安全缺陷的方法，辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然，因此一直以来都是学术界和产业界研究的热点，并已成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士团队基于自主研发的国内首款源代码安全检测商用工具，以及十余年漏洞技术研究的积累，推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷，结合实例和工具使用进行详细介绍，旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

 1、JSON 注入

JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源，程序没有对这些不可信赖的数据进行验证、过滤，如果应用程序使用未经验证的输入构造 JSON，则可以更改 JSON 数据的语义。在相对理想的情况下，攻击者可能会插入无关的元素，导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例，分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍请参见 CWE ID 91: XML Injection (aka Blind XPath Injection) (http://cwe.mitre.org/data/definitions/91.html)。

  2、JSON 注入的危害

攻击者可以利用JSON注入漏洞在JSON数据中插入元素，从而允许JSON数据对业务非常关键的值执行恶意操作，严重的可能导致XSS和动态解析代码。

从2018年1月至2019年6月，CVE中共有18条漏洞信息与其相关。部分漏洞如下：

  3、示例代码

示例源于 WebGoat-8.0.0.M25  (https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project)，源文件名：CSRFFeedback.java。

3.1 缺陷代码

上述示例代码是接收请求参数 feedback 中的 JSON 数据，并将 JSON 数据转换为对象。第35行，声明一个 ObjectMapper 类的实例 objectMapper 用于处理 JSON 数据。第40行在方法 completed 中声明了要获取的参数 feedback，在第42行将请求参数 feedback 的字节数组值和 Map.class 作为参数传入实例 feedback 的 readValue() 方法，用于将 JSON 数据转换为 Map 集合类的对象。

由于 JSON 是根据引号、冒号、逗号和花括号区分各字符意义的，当JSON格式为{"username":"admin","password":"adminpassword"}时，程序可正确解析该 JSON 数据。数据为{"username":"admin","password":"admin"password"}时，其中 admin"password 中的引号会破坏整个JSON的结构，导致 JSON 解析失败，无法转换为指定对象。

使用代码卫士对上述示例代码进行检测，可以检出“JSON注入”缺陷，显示等级为高。从跟踪路径中可以分析出数据的污染源以及数据流向，在代码行第42行报出缺陷。如图1所示：

图1：JSON 注入检测示例

3.2 修复代码

在上述修复代码中，使用 com.fasterxml.jackson.core.io 包下的JsonStringEncoder 类来对 JSON 数据进行操作，在第43行获取 JsonStringEncoder 的对象 encoder，调用 quoteAsUTF8 方法将 feedback中的数据按照 JSON 标准处理并编码为 UTF-8，将结果返回为字节数组。将转换后的字节数组作为参数与 Map.class 传入 readValue 方法。使用 JSON 标准对 JSON 数据进行处理，防止 JSON 注入。

使用代码卫士对修复后的代码进行检测，可以看到已不存在“JSON注入”缺陷。如图2所示：

图2：修复后检测结果

4、如何避免 JSON 注入

检查程序逻辑，根据实际需求对数据进行合理过滤和安全校验，以避免产生JSON注入。

推荐阅读

【缺陷周话】第 39期：解引用未初始化的指针

【缺陷周话】第 38期——不安全的反序列化：XStream

【缺陷周话】第 37期：未初始化值用于赋值操作

【缺陷周话】第 36 期：弱验证

【缺陷周话】第 35 期：除数为零

【缺陷周话】第 34 期：重定向

【缺陷周话】第 33期：错误的资源关闭

【缺陷周话】第 32期：弱加密

【缺陷周话】第 31 期：错误的内存释放方法

【缺陷周话】第 30 期：不安全的哈希算法

【缺陷周话】第 29 期：返回栈地址

【缺陷周话】第 28 期：被污染的内存分配

【缺陷周话】第 27 期：不安全的随机数

【缺陷周话】第 26期：被污染的格式化字符串

【缺陷周话】第 25期：硬编码密码

【缺陷周话】第 24期：在scanf 函数中没有对 %s 格式符进行宽度限制

【缺陷周话】第 23期：双重检查锁定

【缺陷周话】第 22期：错误的内存释放对象

【缺陷周话】第 21 期：数据库访问控制

【缺陷周话】第 20 期：无符号整数回绕

【缺陷周话】第19期：LDAP 注入

【缺陷周话】第18 期  XPath 注入

【缺陷周话】第17 期：有符号整数溢出

【缺陷周话】第 16 期 — 资源未释放：流

【缺陷周话】第 15 期 — 资源未释放：文件

【缺陷周话】第 14 期 ：HTTP 响应截断

【缺陷周话】第 13期 ：二次释放

【缺陷周话】第 12期 ：存储型 XSS

【缺陷周话】第 11期 ：释放后使用

【缺陷周话】第 10 期 ：反射型 XSS

【缺陷周话】第 9 期 ：缓冲区下溢

【缺陷周话】第 8 期 ：路径遍历

【缺陷周话】第 7 期 ：缓冲区上溢

【缺陷周话】第 6 期 ：命令注入

【缺陷周话】第5期 ：越界访问

【缺陷周话】第4期 ：XML 外部实体注入

【缺陷周话】第3期 ：内存泄漏

【缺陷周话】第 2 期 ：SQL 注入

【缺陷周话】第1期 ：空指针解引用

*奇安信代码卫士团队原创出品。未经许可，禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。