静态安全扫描器在这一行标记了我的 C# 代码:
var result = JsonConvert.DeserializeObject<dynamic>(response);
response 将包含来自 Web API 的 JSON 响应。
扫描程序将此标记为“不安全的反序列化”。
有人可以帮助我了解如何利用它吗?Web 示例并不清楚漏洞利用是否可以在DeserializeObject方法本身内发生,或者仅在反序列化之后发生。