https://blog.qife122.com/tags/json%E5%AE%89%E5%85%A8/ Recent content in JSON安全 on 办公AI智能小助手 Hugo zh-cn qife Sun, 14 Dec 2025 01:24:25 +0800 https://blog.qife122.com/p/cve-2025-14542-%E8%AF%A6%E8%A7%A3cwe-501%E4%BF%A1%E4%BB%BB%E8%BE%B9%E7%95%8C%E6%BC%8F%E6%B4%9E%E4%B8%8Ejson%E8%A7%84%E8%8C%83%E8%BF%9C%E7%A8%8B%E5%8A%AB%E6%8C%81%E9%A3%8E%E9%99%A9/ Sun, 14 Dec 2025 01:24:25 +0800 https://blog.qife122.com/p/cve-2025-14542-%E8%AF%A6%E8%A7%A3cwe-501%E4%BF%A1%E4%BB%BB%E8%BE%B9%E7%95%8C%E6%BC%8F%E6%B4%9E%E4%B8%8Ejson%E8%A7%84%E8%8C%83%E8%BF%9C%E7%A8%8B%E5%8A%AB%E6%8C%81%E9%A3%8E%E9%99%A9/ <h1 id="cve-2025-14542-cwe-501-信任边界违反">CVE-2025-14542: CWE-501 信任边界违反</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <h2 id="cve-2025-14542">CVE-2025-14542</h2> <p>当客户端从远程手册端点获取工具的JSON规范（称为手册）时，就会出现此漏洞。虽然提供者最初可能提供一个良性的手册（例如，定义一个HTTP工具调用的手册），以此赢得客户端的信任，但恶意提供者随后可以更改手册以利用客户端。</p> https://blog.qife122.com/p/go%E8%AF%AD%E8%A8%80%E8%A7%A3%E6%9E%90%E5%99%A8%E4%B8%AD%E7%9A%84%E6%84%8F%E5%A4%96%E5%AE%89%E5%85%A8%E9%99%B7%E9%98%B1/ Sat, 01 Nov 2025 10:56:47 +0800 https://blog.qife122.com/p/go%E8%AF%AD%E8%A8%80%E8%A7%A3%E6%9E%90%E5%99%A8%E4%B8%AD%E7%9A%84%E6%84%8F%E5%A4%96%E5%AE%89%E5%85%A8%E9%99%B7%E9%98%B1/ <h1 id="go语言解析器中的意外安全陷阱">Go语言解析器中的意外安全陷阱</h1> <p>在Go应用程序中，解析不可信数据会创建一个危险的攻击面，这在实践中经常被利用。在我们的安全评估中，我们反复利用Go的JSON、XML和YAML解析器中的意外行为来绕过身份验证、规避授权控制并从生产系统中泄露敏感数据。</p>