1、AutoType
fastjson漏洞和fastjson中的AutoType特性有关,后续每个版本的升级中大多关于AutoType的升级。
1.2.59发布,增强AutoType打开时的安全性 fastjson
1.2.60发布,增加了AutoType黑名单,修复拒绝服务安全问题 fastjson
1.2.61发布,增加AutoType安全黑名单 fastjson
1.2.62发布,增加AutoType黑名单、增强日期反序列化和JSONPath fastjson
1.2.66发布,Bug修复安全加固,并且做安全加固,补充了AutoType黑名单 fastjson
1.2.67发布,Bug修复安全加固,补充了AutoType黑名单 fastjson
1.2.68发布,支持GEOJSON,补充了AutoType黑名单。(引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。) fastjson
1.2.69发布,修复新发现高危AutoType开关绕过安全漏洞,补充了AutoType黑名单 fastjson
1.2.70发布,提升兼容性,补充了AutoType黑名单
1.2.83发布,修复在特定场景下可以绕过 AutoType 关闭限制的漏洞
2、AutoType是谁-为啥使用-为啥出错
http://www.ecsoon.com/web/1/165900.html
3、目前已升级至1.2.83
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.83</version>
</dependency>
二、打开SafeMode功能
==============
在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。
以下几种方式配置SafeMode,如下:
1. 在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);
public class DemoApplication {
public static void main(String[] args) {
ParserConfig.getGlobalInstance().setSafeMode(true);
SpringApplication.run(DemoApplication.class, args);
}
}
- 注意,如果使用new ParserConfig的方式,需要注意单例处理,否则会导致低性能full gc。
2. 加上JVM启动参数
-Dfastjson.parser.safeMode=true
如果有多个包名前缀,用逗号隔开
3. 通过fastjson.properties文件配置。
通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true
4. safeMode场景如何做autoType
在1.2.68之后的版本,提供了AutoTypeCheckHandler扩展,可以自定义类接管autoType, 通过ParserConfig#addAutoTypeCheckHandler方法注册。
// com.alibaba.fastjson.parser.ParserConfig.AutoTypeCheckHandler
/**
* @since 1.2.68
*/
public interface AutoTypeCheckHandler {
Class<?> handler(String typeName, Class<?> expectClass, int features);
}
// com.alibaba.fastjson.parser.ParserConfig#addAutoTypeCheckHandler
5. 怎么判断是否用到了autoType
看序列化的代码中是否用到了SerializerFeature.WriteClassName
JSON.toJSONString(obj, SerializerFeature.WriteClassName); // 这种使用会产生@type
6. 使用JSONType.autoTypeCheckHandler
在fastjson 1.2.71版本中,提供了通过JSONType配置autoTypeCheckHandler的方法,比如:
public class JSONTypeAutoTypeCheckHandlerTest extends TestCase {
public void test_for_checkAutoType() throws Exception {
Cat cat = (Cat) JSON.parseObject("{\"@type\":\"Cat\",\"catId\":123}", Animal.class);
assertEquals(123, cat.catId);
}
@JSONType(autoTypeCheckHandler = MyAutoTypeCheckHandler.class)
public static class Animal {
}
public static class Cat extends Animal {
public int catId;
}
public static class Mouse extends Animal {
}
public static class MyAutoTypeCheckHandler implements ParserConfig.AutoTypeCheckHandler {
public Class<?> handler(String typeName, Class<?> expectClass, int features) {
if ("Cat".equals(typeName)) {
return Cat.class;
}
if ("Mouse".equals(typeName)) {
return Mouse.class;
}
return null;
}
}