Fastjson开启安全模式5种方法(VIP典藏版)

于 2024-09-07 06:58:09 发布
阅读量948 收藏 29
点赞数 13
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86640671/article/details/141980668
版权

1. 在代码中配置

2. 加上JVM启动参数

3. 通过fastjson.properties文件配置。

4. safeMode场景如何做autoType

5. 怎么判断是否用到了autoType

6. 使用JSONType.autoTypeCheckHandler

一、Fastjson漏洞事件始末

================

1、AutoType

fastjson漏洞和fastjson中的AutoType特性有关,后续每个版本的升级中大多关于AutoType的升级。

1.2.59发布,增强AutoType打开时的安全性 fastjson

1.2.60发布,增加了AutoType黑名单,修复拒绝服务安全问题 fastjson

1.2.61发布,增加AutoType安全黑名单 fastjson

1.2.62发布,增加AutoType黑名单、增强日期反序列化和JSONPath fastjson

1.2.66发布,Bug修复安全加固,并且做安全加固,补充了AutoType黑名单 fastjson

1.2.67发布,Bug修复安全加固,补充了AutoType黑名单 fastjson

1.2.68发布,支持GEOJSON,补充了AutoType黑名单。(引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。) fastjson

1.2.69发布,修复新发现高危AutoType开关绕过安全漏洞,补充了AutoType黑名单 fastjson

1.2.70发布,提升兼容性,补充了AutoType黑名单

1.2.83发布,修复在特定场景下可以绕过 AutoType 关闭限制的漏洞

2、AutoType是谁-为啥使用-为啥出错

http://www.ecsoon.com/web/1/165900.html

3、目前已升级至1.2.83

    <dependency>

        <groupId>com.alibaba</groupId>

        <artifactId>fastjson</artifactId>

        <version>1.2.83</version>

    </dependency>

二、打开SafeMode功能

==============

在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。

以下几种方式配置SafeMode,如下:

1. 在代码中配置

ParserConfig.getGlobalInstance().setSafeMode(true);

public class DemoApplication {

public static void main(String[] args) {

    ParserConfig.getGlobalInstance().setSafeMode(true);

    SpringApplication.run(DemoApplication.class, args);

}

}

  • 注意,如果使用new ParserConfig的方式,需要注意单例处理,否则会导致低性能full gc。

2. 加上JVM启动参数

-Dfastjson.parser.safeMode=true

如果有多个包名前缀,用逗号隔开

3. 通过fastjson.properties文件配置。

通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.safeMode=true

4. safeMode场景如何做autoType

在1.2.68之后的版本,提供了AutoTypeCheckHandler扩展,可以自定义类接管autoType, 通过ParserConfig#addAutoTypeCheckHandler方法注册。

// com.alibaba.fastjson.parser.ParserConfig.AutoTypeCheckHandler

/**

 * @since 1.2.68

 */

public interface AutoTypeCheckHandler {

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

加入社区》https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0

2401_86640671
关注
安全模式
03-29
NULL 博文链接:https://buptrock.iteye.com/blog/1279528
fastjson开启安全模式
wenlai123456的博客
09-03 3206
方式4:通过fastjson.properties文件配置。方式2:针对某个解析配置。方式3:JVM启动参数。
【SpringSecurity】safeMode not support autoType
最新发布
weixin_73549836的博客
07-30 423
/下面是一个静态代码块,它的作用是在类加载时执行一次,用于设置FastJson的全局配置。//开启全局AutoType。我是lombok注解的,这个原因直接排除。1.开启全局autoType,设置白名单。后面是更换了依赖版本,当时的版本号如下。后面换成版本号略小的,暂时解决。修改后没有变化,仍然报错。
FastJson安全模式开启后关闭类型隐式传递
m0_63159822的博客
01-19 1329
但是,FastJson 在解析 JSON 字符串时存在一定的安全风险,如果输入的 JSON 字符串中包含恶意代码,就有可能导致系统被攻击。为了解决这个问题,FastJson 提供了一安全模式safe mode),可以在解析 JSON 字符串时检测其中是否包含恶意代码,从而防止系统被攻击。在安全模式下,FastJson 会严格限制 JSON 字符串的内容,只允许简单的 JSON 格式。这样,当使用 FastJson 解析 JSON 字符串时,就会自动启用安全模式,从而提高系统的安全性。
FastJson-安全
xlsj雪松的博客
01-03 4232
1 FastJson介绍 FastJson的主要功能就是将Java对象序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把一个Java对象转换成字符串,有两选择: 1)基于属性 fastjson引入了AutoType,即在序列化的时候使用@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型。 2)基于setter/getter 当我们要对他进行序列化的时候,fastjson会扫描其中的getter方法,即找到getName和getFrui
2024年Fastjson开启安全模式5方法VIP典藏版)(1),2024年最新网络安全开发热门前沿知识
05-10 1438
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
此外,还提供了安全模式,当开启安全模式时,Fastjson将更加保守地处理JSON字符串,降低潜在的风险。 Fastjson-1.2.71版本是一个重要的安全更新,它包含了对过去发现的所有已知漏洞的修复。升级到此版本或更高版本...
亲手带你解决Debug Fastjson安全漏洞
10-15
4. **安全模式**:启用Fastjson安全模式,如`JSON.parseObject(json, clazz, Feature.UseSafeFieldNames)`,这会限制某些字段的访问,降低风险。 5. **输入验证**:在接收JSON数据之前进行验证,确保数据的来源...
fastjson 安全模式怎么设置
07-27
- *1* *3* [Fastjson开启安全模式5方法VIP典藏版)](https://blog.csdn.net/libusi001/article/details/117710826)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
springboot实现FastJson解析json数据的方法
09-18
在Spring Boot中实现FastJson解析JSON数据的方法主要涉及以下几个知识点: 1. FastJson简介: FastJson是由阿里巴巴开源的一款Java语言编写的高性能的JSON处理器。它可以方便快速地将Java对象转换成JSON字符串,也...
fastjson常用方法
05-27
### fastjson常用方法 在Java开发中,JSON作为一轻量级的数据交换格式,被广泛应用于前后端数据交互、配置文件存储等场景。阿里集团推出的fastjson是目前最流行的Java JSON库之一,它不仅性能优越,而且使用起来...
开源FastJson使用
冯海林的专栏
12-09 697
一、阿里巴巴的FastJson是一个JSON处理工具包,包括序列化和反序列化两部分,它具备如下特征: 速度最快,测试表明,fastjson具有极快的性能,超越任其他的Java Json parser。包括自称最快的JackJson; 功能强大,完全支持Java Bean、集合、Map、日期、Enum,支持范型,支持自省;无依赖,能够直接运行在Java SE 5.0以上版本;支持Android;
fastjson 安全漏洞
regrethh的博客
07-16 4432
本文转载自微信公众号Hollis,作者Hollis。如果有侵权,请联系我,立马删除。 fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的是他为什么会频繁被爆漏洞?于是我带着疑惑,去看了下fastjson的releaseNote以及部分源代码。 最终发现,这其实和fastjson中的一个AutoType
fastjson反序列化失败autoType is not support
热门推荐
祈雨v的博客
01-03 1万+
描述 通过fastjson反序列化某javabean时失败,并抛出以下异常: Could not deserialize: autoType is not support. com.xxx.Shop; nested exception is com.alibaba.fastjson.JSONException: autoType is not support. com.xxx.Shop at c...
fastjson safemode_fastjson_safemode
weixin_42556197的博客
01-14 7305
打开SafeMode功能在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。有三方式配置SafeMode,如下:1. 在代码中配置ParserConfig.getGlobalInstance().setSafeMode(true);注意,如果使用ne...
Java工程师成神之路java基础知识之序列化(二)
r_b_y的博客
04-28 581
原文作者:Hollis serialVersionUID 序列化是将对象的状态信息转换为可存储或传输的形式的过程。 我们都知道, Java对象是保存在JVM的堆内存中的, 也就是说, 如果JVM堆不存在了, 那么对象也就跟着消失了。 ⽽序列化提供了⼀⽅案, 可以让你在即使JVM停机的情况下也能把对象保存下来的⽅案。 就像我们平时⽤的U盘⼀样。 把Java对象序列化成可存储或传输的形式( 如⼆进制流) , ⽐如保存在⽂件中。 这样, 当再次需要这个对象的时候, 从⽂件中读取出⼆进制流, 再从⼆进制流中反序列
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值