JSON互操作性漏洞实验室 描述 这些是我的研究文章的伴随实验室。 密钥冲突攻击:不一致的重复密钥优先级 不一致的大数表示 关键碰撞攻击:字符截断 默认情况下,这些实验室绑定到主机端口5000-5004。 攻击技巧 1.关键碰撞 不一致的重复密钥优先级 {"qty": 1, "qty": -1} 字符截断 最后键优先级解析器中的截断(第一键优先级的翻转顺序) {"qty": 1, "qty\": -1} {"qty": 1, "qty\ud800": -1} # Any unpaired surrogate U+D800-U+DFFF {"qty": 1, "qty"": -1} {"qty": 1, "qt\y": -1} 评论截断 这些文档利用了注释的不一致支持和无引号的字符串支持: {"qty": 1, "extra": 1/*, "qty