Неверные данные вызывают обход аутентификации в системе обмена сообщениями JSON полиглота?

Это очень простая система, основанная на отправке сообщений JSON, которая, похоже, имеет уязвимость безопасности. Существует сервер Python (использующий модуль JSON, включенный в стандартную библиотеку), который получает объекты JSON и воздействует на них. Если это получится {"req": "ping"}просто возвращается {"resp": "pong"}, Также есть команда для настройки громкости и одна для изменения пароля администратора. Администратор может отправить любой JSON на этот сервер. Вот это (server.py):

import json
import sys

def change_admin_password(p): pass # empty for test
def set_volume(v): pass # empty for test

def handle(js):
if (js["req"] == "ping"):
return {"resp": "pong"}
if (js["req"] == "change admin password"):
change_admin_password(js["args"]["password"])
return {"resp": "ok"}
if (js["req"] == "set volume"):
set_volume(int(js["args"]["volume"]))
return {"resp": "ok"}

print handle(json.load(sys.stdin))

Он читает команду из стандартного ввода и обрабатывает ее. Другой сценарий считывает объекты JSON из сетевого сокета и передает их этому сценарию.

Другие пользователи должны пройти через прокси, написанный на C ++, используя libjson. Он просто блокирует запросы, которые должны требовать прав администратора. Например, если пользователь пытается изменить пароль администратора, прокси-сервер отклонит команду:

$ echo '{"req": "change admin password", "args": {"password":"new"}}' | ./proxy
echo $?
1

Вот код (proxy.cpp):

#include "libjson.h"using namespace std;
int main() {
string json((istreambuf_iterator<char>(cin)), istreambuf_iterator<char>());
JSONNode n = libjson::parse(json);
string req = n.at("req").as_string();
if (req == "change admin password") {
return 1;
}
cout << n.write();
}

Чтобы использовать прокси, главный скрипт, управляющий сокетом, будет передавать данные через прокси и выводить их на сервер Python:

$ echo '{"req": "ping"}' | ./proxy | python server.py
{'resp': 'pong'}
$ echo '{"req": "set volume", "args": {"volume": 50}}' | ./proxy | python server.py
{'resp': 'ok'}

И если пользователь попытается выполнить команду с ограниченным доступом, она завершится неудачно, как и ожидалось:

$ echo '{"req": "change admin password", "args": {"password": "new"}}' | ./proxy | python server.py
Traceback (most recent call last):
File "server.py", line 17, in <module>
[...]

Но по какой-то причине, если ключ «req» находится в JSON дважды (не должен ли он быть незаконным?), Пользователи без прав администратора могут изменить пароль администратора:

$ echo '{"req": "nothing", "req": "change admin password", "args": {"password": "new"}}' | ./proxy | python server.py
{'resp': 'ok'}

Зачем?

---

Попытка обходного пути Майка МакМахона:

Я пытался с помощью JSONNode.find как обходной путь, но, похоже, не работает.

Я попытался просто перебрать все элементы:

#include "libjson.h"using namespace std;
int main() {
string json((istreambuf_iterator<char>(cin)), istreambuf_iterator<char>());
JSONNode n = libjson::parse(json);
for (JSONNode::json_iterator it = n.begin(); it != n.end(); it++) {
cout << "found one: " << it->at("x").as_string() << endl;
}
}

Это работает:

$ g++ proxy.cpp libjson.a  -o proxy && ./proxy
In file included from libjson.h:4:0,
from proxy.cpp:1:
_internal/Source/JSONDefs.h:157:6: warning: #warning , Release build of libjson, but NDEBUG is not on [-Wcpp]
{"a": {"x": 1}, "b": {"x": 2}}
found one: 1
found one: 2

Кроме этого segfaults, если JSON является недействительным? Я неправильно использую итератор?

$ echo '{"a": {"x": 1}, {"b": {"x": 2}}' | ./proxy
found one: 1
Segmentation fault

Я заменил n.begin() с n.find("y"):

#include "libjson.h"using namespace std;
int main() {
string json((istreambuf_iterator<char>(cin)), istreambuf_iterator<char>());
JSONNode n = libjson::parse(json);
for (JSONNode::json_iterator it = n.find("y"); it != n.end(); it++) {
cout << "found one: " << it->at("x").as_string() << endl;
}
}

Это не работает вообще. Я неправильно использую итератор?

g++ proxy.cpp libjson.a  -o proxy && ./proxy
In file included from libjson.h:4:0,
from proxy.cpp:1:
_internal/Source/JSONDefs.h:157:6: warning: #warning , Release build of libjson, but NDEBUG is not on [-Wcpp]
{"y": {"x": 1}}
Segmentation fault

---

Еще одна попытка обходного пути:

#include "libjson.h"using namespace std;
int main() {
string json((istreambuf_iterator<char>(cin)), istreambuf_iterator<char>());
JSONNode n = libjson::parse(json);
for (JSONNode::json_iterator it = n.begin(); it != n.end(); it++) {
if (it->name() == "req" && it->as_string() == "change admin password")
{
cout << "found one " << endl;
}
}
}

Оно работает!

$ echo '{"req": "change admin password"}' | ./proxy
found one
$ echo '{"req": "x", "req": "change admin password"}' | ./proxy
found one
$ echo '{"req": "change admin password", "req": "x"}' | ./proxy
found one

Но все еще segfaults с неправильным вводом JSON?

$ echo '{"req": "x", {"req": "x"}' | ./proxy
Segmentation fault

{ "same" : 4, "same": 5}

JSONNode.find("req");

JSONNode n = libjson::parse(json)
JSONNode::json_iterator it = n.find("req");
// iterate over the array
if (it[i].at("req").as_string() == "change admin password") {
return 1;
}

for (JSONNode::json_iterator jsonIter = n.begin(); jsonIter != n.end(); jsonIter++) {
if (jsonIter->name() == "req" &&
jsonIter->as_string() == "change admin password")
{
// found something do magic here
}
}