1. 在代码中配置
2. 加上JVM启动参数
3. 通过fastjson.properties文件配置。
4. safeMode场景如何做autoType
5. 怎么判断是否用到了autoType
6. 使用JSONType.autoTypeCheckHandler
一、Fastjson漏洞事件始末
================
1、AutoType
fastjson漏洞和fastjson中的AutoType特性有关,后续每个版本的升级中大多关于AutoType的升级。
1.2.59发布,增强AutoType打开时的安全性 fastjson
1.2.60发布,增加了AutoType黑名单,修复拒绝服务安全问题 fastjson
1.2.61发布,增加AutoType安全黑名单 fastjson
1.2.62发布,增加AutoType黑名单、增强日期反序列化和JSONPath fastjson
1.2.66发布,Bug修复安全加固,并且做安全加固,补充了AutoType黑名单 fastjson
1.2.67发布,Bug修复安全加固,补充了AutoType黑名单 fastjson
1.2.68发布,支持GEOJSON,补充了AutoType黑名单。(引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。) fastjson
1.2.69发布,修复新发现高危AutoType开关绕过安全漏洞,补充了AutoType黑名单 fastjson
1.2.70发布,提升兼容性,补充了AutoType黑名单
1.2.83发布,修复在特定场景下可以绕过 AutoType 关闭限制的漏洞
2、AutoType是谁-为啥使用-为啥出错
http://www.ecsoon.com/web/1/165900.html
3、目前已升级至1.2.83
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.83</version>
</dependency>
二、打开SafeMode功能
==============
在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。
以下几种方式配置SafeMode,如下:
1. 在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);
public class DemoApplication {
public static void main(String[] args) {
ParserConfig.getGlobalInstance().setSafeMode(true);
SpringApplication.run(DemoApplication.class, args);
}
}
- 注意,如果使用new ParserConfig的方式,需要注意单例处理,否则会导致低性能full gc。
2. 加上JVM启动参数
-Dfastjson.parser.safeMode=true
如果有多个包名前缀,用逗号隔开
3. 通过fastjson.properties文件配置。
通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true
4. safeMode场景如何做autoType
在1.2.68之后的版本,提供了AutoTypeCheckHandler扩展,可以自定义类接管autoType, 通过ParserConfig#addAutoTypeCheckHandler方法注册。
// com.alibaba.fastjson.parser.ParserConfig.AutoTypeCheckHandler
/**
* @since 1.2.68
*/
public interface AutoTypeCheckHandler {
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
加入社区》https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0