Implementación de la vulnerabilidad de seguridad Newtonsoft JSON.NET
security (1)
Las vulnerabilidades de seguridad recientemente expuestas con respecto a la serialización en .NET tienen recomendaciones ambiguas. ¿Cuál es la forma correcta de usar JSON.NET de forma segura?
Guía detallada para JSON.NET: https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf#page=5
¿ Se debe usar TypeNameHandling.All o se debe usar TypeNameHandling.None ?
Explicación general: https://www.bleepingcomputer.com/news/security/severe-deserialization-issues-also-affect-net-not-just-java/
Bien aparece la respuesta está justo en frente de mí en la documentación :
"Los tipos entrantes deben validarse con un SerializationBinder personalizado al deserializar con un valor distinto de None".