记一次-fastjson-坑爹-BUG-带来的服务器瘫痪---

于 2024-07-05 05:43:24 发布
阅读量352 收藏 9
点赞数 4
分类专栏: 资料公粽号 文章标签: bug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85405832/article/details/140196392
版权

漏洞的关键点在com.alibaba.fastjson.parser.JSONLexerBase#scanString中,当传入json字符串时,fastjson会按位获取json字符串,当识别到字符串为\x为开头时,会默认获取后两位字符,并将后两位字符与\x拼接将其变成完整的十六进制字符来处理:

而当json字符串是以\x结尾时,由于fastjson并未对其进行校验,将导致其继续尝试获取后两位的字符。也就是说会直接获取到\u001A也就是EOF:

image

当fastjson再次向后进行解析时,会不断重复获取EOF,并将其写到内存中,直到触发oom错误:

最终效果为:

0x02 影响版本

fastjson < 1.2.60版本

0x03 修复建议

1.1.15~1.1.31版本更新到1.1.31.sec07版本
1.1.32~1.1.33版本更新到1.1.33.sec06版本
1.1.34 版本更新到1.1.34.sec06版本
1.1.35~1.1.46版本更新到1.1.46.sec06版本
1.2.3~1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本

如何快速更新自己的技术积累?

  • 在现有的项目里,深挖技术,比如用到netty可以把相关底层代码和要点都看起来。
  • 如果不知道目前的努力方向,就看自己的领导或公司里技术强的人在学什么。
  • 知道努力方向后不知道该怎么学,就到处去找相关资料然后练习。
  • 学习以后不知道有没有学成,则可以通过面试去检验。

我个人觉得面试也像是一场全新的征程,失败和胜利都是平常之事。所以,劝各位不要因为面试失败而灰心、丧失斗志。也不要因为面试通过而沾沾自喜,等待你的将是更美好的未来,继续加油!

以上面试专题的答小编案整理成面试文档了,文档里有答案详解,以及其他一些大厂面试题目

八年CRUD,疫情备战三个月,三面头条、四面阿里拿offer面经分享

八年CRUD,疫情备战三个月,三面头条、四面阿里拿offer面经分享

[外链图片转存中…(img-No66RBgW-1720129392398)]

2401_85405832
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
打包后 fastjson 解析时 卡住
u010604631的专栏
03-30 278
打包后,跑程序时发现跑到上图的位置,不再跑了,也不抛异常,这就纳闷了 然而在开发机编辑模式下是能够往后跑下去的 后面换一种方式重新跑一遍 然后就抛异常了J(找不到类的异常),到这里也就纳闷,包都正常发布到私服,也从私服正常加载下来,怎么就找不到类呢 后来检查包的文件 MANIFEST.MF 才发现私服load进来的jar包 后面带时间戳 发布私服时是 ...
gexin-rp-fastjson-1.0.0.1.jar
06-13
un push相关推送jar包文件,找了很久才找到,保存下,有需要的欢迎下载
fastJson版本bug:cannot be cast to com.alibaba.fastjson.JSONObject
m0_59777100的博客
06-17 709
java.lang.ClassCastException: java.util.HashMap cannot be cast to com.alibaba.fastjson.JSONObject
真能一快遮百丑?为什么要弃坑FastJson
勇往直前的专栏
04-16 2495
FastJson为何物 首先抄录一段来自官网的介绍:FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 FastJson是Java程序员常用到的类库之一,相信点开这个页面的你,也肯定是程序员朋友。正如其名,“快”是其主要卖点。 真的很快吗? 没有调研就没...
Fastjson再曝反序列化漏洞,网友:Bugson又来了!
程序猿DD
05-25 318
近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞。漏洞描述Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 au...
fastjson bug
qq_34002000的博客
03-22 263
public static void main(String args[]) { Student s1 = new Student(); s1.setName("[{\"category\":1,\"iscover\":0,\"url\":\"http://cdzystatic.centalinely.com.cn//Images/20171128/102938_65871f57-8be3-4197-a897-68ef3d84f687.jpg\"},{\"category\":1,\"isc
fastjson一个有趣的bug
qq_22017543的博客
07-02 423
fastjson一个有趣的bug 今天下午同事找我看一个bug,看完之后觉得非常有意思,所以准备录一下。原来的代码我就不贴了,比较复杂。我就贴一个简单的重现代码吧。 //创建jsonarray数组 JSONArray array = new JSONArray(); //第一个json对象 JSONObject com.alibaba.fastjson.JSONObject a = ...
Ruby-FastJSONAPI一个用于Ruby对象的快速JSONAPI的序列化器
08-15
JSON:API是一个广泛接受的标准,它定义了如何在客户端和服务器之间交换数据,包括资源的表示、关系处理以及错误处理等。Fast JSON API 库遵循这一标准,确保了与各种JSON:API兼容的客户端的无缝交互。 **核心功能与...
fastjson-1.1.71.android.jar
07-09
fastjson-android是fastjson专门为android开发提取出来的一个精简的fastjson包,更适应android开发特点,序列化和反序列化操作简便。
fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_
09-30
Fastjson是阿里巴巴开源的一个高性能的JSON库,它在Java世界中被广泛使用,为开发者提供了快速、方便地处理JSON数据的能力。Fastjson 1.2.66是该库的一个稳定版本,其核心功能包括JSON字符串与Java对象之间的转换,...
fastjson-1.2.83 针对近期阿里fastjson包漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
发现fastjson 2.0.32 版本的一个bug---数据转换错误
最新发布
yang11qiang的博客
05-09 1196
最近参与一个新的项目,测试同事发现一个数据不对,数据库的数据明明是,但是界面显示的却是,这个差距太大了吧。。。一路跟踪代码没有发现任何问题,最后debug发现,jsonObject.toJavaObject(XX.class) 这行代码之后数据就不对了,不会吧,又是fastjsonbug?之前已经遇到一次,数据量太大,fastjson报空指针的问题(版本升级解决),现在又遇到,,,,老司机第一反应就是,小数嘛,是不是精度问题,但是和。
fastjsonbug
u012600900的专栏
02-04 440
fastjson 新建一个jsonobject,然后put进一个自定义对象的list时候,会出现空jsonstring为空,就是不能put进去。然后更改了多次,发现加长对象中的属性长度,比如person对象的name,修改为testtestname,就能正常put进去。还有一种方式,就是不使用自定义对象,而改成hashmap存储属性和值,这样再组成一个list,就可以了。
fastjson2.0.0 JSONObject.parseObject导致jvm宕机
踏雪江南的博客
01-08 1749
fastjson2.0.0 parseObject导致jvm宕机
FastJson 1.2.48的 bug
joez的专栏
05-27 941
FastJson 新版1.2.48版的 bugfastjson bug 老有莫名的 bug 出现,如下代码:     @Test public void testJsonParser() throws IOException { InnerTemplateExecuteContext ctx=new InnerTemplateExecuteContext(); ...
最新漏洞FastJson
ovowovo的博客
05-31 3253
FastJson为何物 首先抄录一段来自官网的介绍:FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 FastJson是Java程序员常用到的类库之一,相信点开这个页面的你,也肯定是程序员朋友。正如其名,“快”是其主要卖点。 FastJson的应用 阿里巴巴FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,它具备如下特征: 速度最快,测试表明,fast
2.0.34版本中fastjson2中bug与修复的分析
m0_62804324的博客
12-27 1532
fastjson2中的bug与修复分析
注意,Fastjson 最新高危漏洞又来了!
qq_36189144的博客
06-02 706
点击上方“阿拉奇学Java”,选择“置顶或者星标”每天早晨00点00分,与你相约!往日回顾:当IntelliJ IDEA2020.1遇上JDK14:所有美好环环相扣来源:安全客http...
fastjson-1.2.47下载
07-03
fastjson-1.2.47是一个用于Java编程语言的JSON(JavaScript Object Notation)解析器和生成器。它可以将Java对象转换为JSON格式的字符串,并将JSON字符串转换为对应的Java对象。要下载fastjson-1.2.47,您可以按照...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值