System.Linq.Dynamic.Core 安全风险分析与改进方案

System.Linq.Dynamic.Core 是一个流行的.NET动态LINQ查询库，它允许开发者在运行时构建和执行LINQ查询。近期该库被发现存在两个重要的安全风险，可能允许通过特定方式访问受限信息或访问静态属性/字段。

风险背景

该库的核心功能是解析字符串表达式并转换为LINQ查询，这种动态特性在带来便利的同时也带来了潜在的安全隐患。最新发现的风险主要涉及两个方面：

1. 类型属性访问风险：可以通过GetType()方法获取程序集信息，进而枚举已安装的NuGet包及其版本
2. 静态属性/字段访问风险：可以直接访问静态类中的受限数据，如配置信息等

风险原理分析

类型属性访问风险

该风险源于库中对object类型的预定义支持。由于所有类型都继承自object，可以通过GetType()方法获取类型信息，然后通过链式访问程序集的元数据：

c.GetType().Assembly.DefinedTypes.SelectMany(t => t.CustomAttributes)

这种方式可以获取程序集中所有类型的自定义特性信息，进而推断出项目依赖的NuGet包及其版本。

静态属性/字段访问风险

该风险允许直接访问静态类中的属性和字段，例如：

AppSettings.SettingsProp["jwt"]

如果应用中存在存储受限信息的静态类，可以直接获取这些数据，如数据库连接字符串、API密钥等。

改进方案

开发团队采取了以下措施改进这些风险：

1. 调整object类型的预定义支持：从预定义类型列表中移除object类型，阻止通过GetType()方法获取类型信息
2. 强化类型访问控制：要求静态类必须显式标注DynamicLinqType特性才能被访问
3. 添加安全配置选项：引入AllowEqualsAndToStringMethodsOnObject配置，允许在受控环境下启用object的基础方法

升级建议

建议所有使用该库的项目立即升级到1.6.0或更高版本。升级时需要注意：

1. 原有的Equals和ToString调用可能会失效，需要通过ParsingConfig显式启用
2. 静态类访问需要添加DynamicLinqType特性标注
3. 建议审查项目中所有使用动态LINQ的场景，确保不会暴露给不可信的输入源

安全最佳实践

1. 尽量避免将动态LINQ功能直接暴露给前端用户
2. 对用户输入的表达式进行严格验证和过滤
3. 仅启用必要的类型和方法访问权限
4. 定期检查项目依赖的安全公告

通过这次安全事件，我们再次认识到动态代码执行带来的安全风险。System.Linq.Dynamic.Core团队快速响应并提供了完善的改进方案，展现了良好的开源项目维护能力。开发者应当及时跟进此类安全更新，确保应用安全。