Fastjson开启安全模式5种方法(VIP典藏版)

最新推荐文章于 2024-09-27 13:01:10 发布
最新推荐文章于 2024-09-27 13:01:10 发布
阅读量485 收藏 11
点赞数 14
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_87299161/article/details/142425199
版权

1、AutoType

fastjson漏洞和fastjson中的AutoType特性有关,后续每个版本的升级中大多关于AutoType的升级。

1.2.59发布,增强AutoType打开时的安全性 fastjson

1.2.60发布,增加了AutoType黑名单,修复拒绝服务安全问题 fastjson

1.2.61发布,增加AutoType安全黑名单 fastjson

1.2.62发布,增加AutoType黑名单、增强日期反序列化和JSONPath fastjson

1.2.66发布,Bug修复安全加固,并且做安全加固,补充了AutoType黑名单 fastjson

1.2.67发布,Bug修复安全加固,补充了AutoType黑名单 fastjson

1.2.68发布,支持GEOJSON,补充了AutoType黑名单。(引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。) fastjson

1.2.69发布,修复新发现高危AutoType开关绕过安全漏洞,补充了AutoType黑名单 fastjson

1.2.70发布,提升兼容性,补充了AutoType黑名单

1.2.83发布,修复在特定场景下可以绕过 AutoType 关闭限制的漏洞

2、AutoType是谁-为啥使用-为啥出错

http://www.ecsoon.com/web/1/165900.html

3、目前已升级至1.2.83

    <dependency>

        <groupId>com.alibaba</groupId>

        <artifactId>fastjson</artifactId>

        <version>1.2.83</version>

    </dependency>

二、打开SafeMode功能

==============

在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。

以下几种方式配置SafeMode,如下:

1. 在代码中配置

ParserConfig.getGlobalInstance().setSafeMode(true);

public class DemoApplication {

public static void main(String[] args) {

    ParserConfig.getGlobalInstance().setSafeMode(true);

    SpringApplication.run(DemoApplication.class, args);

}

}

  • 注意,如果使用new ParserConfig的方式,需要注意单例处理,否则会导致低性能full gc。

2. 加上JVM启动参数

-Dfastjson.parser.safeMode=true

如果有多个包名前缀,用逗号隔开

3. 通过fastjson.properties文件配置。

通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.safeMode=true

4. safeMode场景如何做autoType

在1.2.68之后的版本,提供了AutoTypeCheckHandler扩展,可以自定义类接管autoType, 通过ParserConfig#addAutoTypeCheckHandler方法注册。

// com.alibaba.fastjson.parser.ParserConfig.AutoTypeCheckHandler

/**

 * @since 1.2.68

 */

public interface AutoTypeCheckHandler {

    Class<?> handler(String typeName, Class<?> expectClass, int features);

}

// com.alibaba.fastjson.parser.ParserConfig#addAutoTypeCheckHandler

5. 怎么判断是否用到了autoType

看序列化的代码中是否用到了SerializerFeature.WriteClassName

JSON.toJSONString(obj, SerializerFeature.WriteClassName); // 这种使用会产生@type

6. 使用JSONType.autoTypeCheckHandler

在fastjson 1.2.71版本中,提供了通过JSONType配置autoTypeCheckHandler的方法,比如:

public class JSONTypeAutoTypeCheckHandlerTest extends TestCase {

public void test_for_checkAutoType() throws Exception {

    Cat cat = (Cat) JSON.parseObject("{\"@type\":\"Cat\",\"catId\":123}", Animal.class);

    assertEquals(123, cat.catId);

}

@JSONType(autoTypeCheckHandler = MyAutoTypeCheckHandler.class)

public static class Animal {

}

public static class Cat extends Animal {

    public int catId;

}

public static class Mouse extends Animal {

}

public static class MyAutoTypeCheckHandler implements ParserConfig.AutoTypeCheckHandler {

    public Class<?> handler(String typeName, Class<?> expectClass, int features) {

        if ("Cat".equals(typeName)) {

            return Cat.class;

        }

        if ("Mouse".equals(typeName)) {

            return Mouse.class;

        }

        return null;

    }

}
2401_87299161
关注
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
此外,还提供了安全模式,当开启安全模式时,Fastjson将更加保守地处理JSON字符串,降低潜在的风险。 Fastjson-1.2.71版本是一个重要的安全更新,它包含了对过去发现的所有已知漏洞的修复。升级到此版本或更高版本...
亲手带你解决Debug Fastjson安全漏洞
10-15
4. **安全模式**:启用Fastjson安全模式,如`JSON.parseObject(json, clazz, Feature.UseSafeFieldNames)`,这会限制某些字段的访问,降低风险。 5. **输入验证**:在接收JSON数据之前进行验证,确保数据的来源...
Fastjson开启安全模式5方法VIP典藏版)(1)
2401_84239625的博客
04-28 1404
1.2.61发布,增加AutoType安全黑名单 fastjson1.2.62发布,增加AutoType黑名单、增强日期反序列化和JSONPath fastjson1.2.66发布,Bug修复安全加固,并且做安全加固,补充了AutoType黑名单 fastjson1.2.67发布,Bug修复安全加固,补充了AutoType黑名单 fastjson1.2.68发布,支持GEOJSON,补充了AutoType黑名单。
2024年Fastjson开启安全模式5方法VIP典藏版),狂刷200道数据结构与算法
05-10 972
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
2024年Fastjson开启安全模式5方法VIP典藏版)(1),2024年最新网络安全开发热门前沿知识
05-10 1443
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Fastjson开启安全模式
qq_38229543的博客
12-16 1807
原文链接:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
FastJson安全模式开启后关闭类型隐式传递
m0_63159822的博客
01-19 1333
但是,FastJson 在解析 JSON 字符串时存在一定的安全风险,如果输入的 JSON 字符串中包含恶意代码,就有可能导致系统被攻击。为了解决这个问题,FastJson 提供了一安全模式(safe mode),可以在解析 JSON 字符串时检测其中是否包含恶意代码,从而防止系统被攻击。在安全模式下,FastJson 会严格限制 JSON 字符串的内容,只允许简单的 JSON 格式。这样,当使用 FastJson 解析 JSON 字符串时,就会自动启用安全模式,从而提高系统的安全性。
fastjson开启安全模式
wenlai123456的博客
09-03 3268
方式4:通过fastjson.properties文件配置。方式2:针对某个解析配置。方式3:JVM启动参数。
FastJson-安全
xlsj雪松的博客
01-03 4232
1 FastJson介绍 FastJson的主要功能就是将Java对象序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把一个Java对象转换成字符串,有两选择: 1)基于属性 fastjson引入了AutoType,即在序列化的时候使用@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型。 2)基于setter/getter 当我们要对他进行序列化的时候,fastjson会扫描其中的getter方法,即找到getName和getFrui
fastjson升级安全模式
Mona
11-23 1742
工作中遇到的:fastjson版本升级,修复安全漏洞
fastjson将字符串转为map的几方法
gaston的博客
12-03 3410
package com.zkn.newlearn.json; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import java.util.Map; /** * JSON字符串自动转换 * */ public class JsonToMapTest01 {...
springboot实现FastJson解析json数据的方法
09-18
在Spring Boot中实现FastJson解析JSON数据的方法主要涉及以下几个知识点: 1. FastJson简介: FastJson是由阿里巴巴开源的一款Java语言编写的高性能的JSON处理器。它可以方便快速地将Java对象转换成JSON字符串,也...
fastjson常用方法
05-27
### fastjson常用方法 在Java开发中,JSON作为一轻量级的数据交换格式,被广泛应用于前后端数据交互、配置文件存储等场景。阿里集团推出的fastjson是目前最流行的Java JSON库之一,它不仅性能优越,而且使用起来...
部标主动安全(ADAS+DMS)对接说明
最新发布
谁念西风独自凉
09-27 580
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
【车联网安全】车端网络攻击及检测的框架/模型
#7的博客
09-24 1449
本文主要调研了车联网安全的一些攻击及检测的模型/框架,对国家标准进行了调研,并汇总上述调研内容。
个人计算机与网络安全
nn_84的博客
09-24 399
关于 wifi 大家都知道 wifi 已经使用了 wpa3 非常安全 但很多人不知道 pin 和 wps 这两项有漏洞。漏洞来控制用户电脑 老实说吧 默认用户仍然是管理员 像windows 是很容易得到最高权限的。关于 病毒 大家都知道中国 美国 俄罗斯 的黑客不断的在对抗 所以这病毒花样百出 所以系统用户。关于 国产的 linux 老实说全是漏洞 默认开启 很多服务 但初始化的设置都有漏洞。我发现很多用户都简单设置了这两项 他们的设置 使他们的网络出现了漏洞。
数据库的全透明加密和半透明加密主要是针对数据存储安全的不同处理方式
weixin_45699851的博客
09-25 349
对于应用程序来说,它处理的是密文,而加密过程和解密过程都是由数据库系统在后台自动完成的。这模式下,开发者几乎察觉不到加密的存在,查询和操作的速度不会受到影响,因为大部分加密操作都在内存中快速完成。当数据被插入到数据库时,它会被加密,但对于读取数据的应用程序来说,它仍然能看到明文结果。这意味着应用程序需要知道如何处理加密后的数据,比如查询前先解密,然后对解密后的数据进行操作,再加密返回给客户端。这方式牺牲了一些便利性,但可以提供更好的性能,因为它不需要每次查询都做完整的加密解密处理。
【中关村在线-注册/登录安全分析报告】
09-23 988
中关村在线(ZOL)创立于1999年,深耕科技垂直领域23年,致力于新消费势力生活科技商品第一导购平台 ,专业高质量内容的提供者。以用户第一为导向,帮用户买好产品,帮客户卖好产品为使命利用专业领先内容,帮助用户更好、更快的选购产品, 通过产品解析、产品点评、问答口碑、对接电商,简化路径、产品评测完善+ 草导购推荐等环节,让用户全面了解每一款产品性能,帮助用户更精准、更快捷的选购科技产品。
fastjson 安全模式怎么设置
07-27
fastjson安全模式可以通过以下几方式进行设置。首先,可以在代码中配置`ParserConfig.getGlobalInstance().setSafeMode(true)`来开启安全模式。例如,在应用程序的入口处添加以下代码: ```java public class DemoApplication { public static void main(String\[\] args) { ParserConfig.getGlobalInstance().setSafeMode(true); SpringApplication.run(DemoApplication.class, args); } } ``` 需要注意的是,如果使用`new ParserConfig`的方式,需要注意单例处理,否则可能会导致性能下降和内存泄漏。 另外一方式是通过JVM启动参数来设置安全模式,可以在启动时加上`-Dfastjson.parser.safeMode=true`参数来开启安全模式。这样在应用程序运行时,fastjson会自动启用安全模式。 需要注意的是,安全模式开启会完全禁用autoType功能,确保了fastjson在反序列化时不会受到恶意代码的攻击。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *3* [Fastjson开启安全模式5方法VIP典藏版)](https://blog.csdn.net/libusi001/article/details/117710826)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [fastjson 安全漏洞](https://blog.csdn.net/regrethh/article/details/107381977)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值