Fastjson漏洞详情

最新推荐文章于 2024-10-29 21:57:43 发布
最新推荐文章于 2024-10-29 21:57:43 发布
阅读量5.6k 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: 安全 web安全 fastjson 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GyaoG/article/details/125054317
版权
Fastjson,阿里巴巴的开源JSON解析库,被曝出在1.2.80及以下版本存在严重反序列化漏洞,可能导致远程代码执行。官方建议用户升级至1.2.83版本或切换至新版本Fastjson2,以增强安全性。
摘要由CSDN通过智能技术生成

一、fastjson漏洞详情

        Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,是目前Java语言中最快的JSON库。由于Fastjson其优越的性能,被广泛使用在缓存序列化、协议交互等多种应用场景。然而在2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。

二、受影响版本

漏洞信息如下:
漏洞评级:严重
影响组件:com.alibaba:fastjson
影响版本:<= 1.2.80

三、修复建议

建议1:使用fastjson1.2.83版本;

Github地址:https://github.com/alibaba/fastjson/releases/tag/1.2.83

建议2:升级到fastjson v2

Github地址:https://github.com/alibaba/fastjson2

      Fastjson v2是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景

程序之大道至简
关注
专栏目录
FastJson远程命令执行漏洞
PassionNingG的博客
09-03 1432
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。文章内容多来于如有侵权立删。# FastJson远程命令执行漏洞学习笔记fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Fastjson官方再次披露高危漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
murphysec的博客
05-23 3019
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,可能会导致远程服务器被攻击,风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全Fastjson 是Java语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞,1.2.80及以下版本在特定条件下可绕过默认autoType关闭限制,攻击远程服务器。 攻击者可利用该漏洞远程执行恶意代码。 漏洞评级:严重
Fastjson <= 1.2.80 任意代码执行漏洞预警】
最新发布
weixin_46641057的博客
10-29 424
最近发现网站动不动就停止服务, 日志也看不出问题原因,只好重新启动,后来让运维的朋友帮忙扫描了一下,发现阿里的 fastjson1.2.78 存在JSON 漏洞
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3854
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Fastjson漏洞
qq_50854662的博客
10-09 5909
Fastjson漏洞
Fastjson漏洞原理分析
LTianHang的博客
06-04 5388
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 346
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson漏洞环境
01-12
在给定的“fastjson漏洞环境”中,我们关注的是三个特定版本的 Fastjson 反序列化漏洞:1.2.67、1.2.66 和 1.2.62。 **一、Fastjson 反序列化漏洞** 1. **什么是反序列化漏洞?** 反序列化是将已序列化的数据恢复...
FastJson 漏洞.md
05-27
#### 二、Fastjson漏洞概述 Fastjson在多个版本中存在安全漏洞,主要集中在反序列化过程中,这些漏洞可能允许远程代码执行(RCE),即攻击者可以通过构造恶意的JSON数据来触发漏洞,进而执行任意代码。此类漏洞一旦...
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2358
Fastjson组件反序列化分析,从基础到RCE的过程笔记
fastjson漏洞
m0_37180957的博客
05-30 521
对于最新版本的fastjson,是有漏洞的。 版本: com.alibaba fastjson 1.2.68 在序列化的过程中,是存在白名单漏洞的。具体需要关注一下反序列化的过程。 https://cert.360.cn/daily
fastjson反序列化漏洞
Kevin's Blog
06-04 8702
文章目录一、fastjson 1.2.24反序列化漏洞1.1 漏洞简介1.1.1 漏洞阐述1.1.2 影响范围1.1.4 漏洞原理1.1.3 限制条件1.2 环境搭建1.3 漏洞利用1.4 防御建议二、fastjson 1.2.47反序列化漏洞 一、fastjson 1.2.24反序列化漏洞 1.1 漏洞简介 1.1.1 漏洞阐述   FastJson是alibaba开源的一款开源的高性能的JSON库,用于将java对象转换为json形式,也可以用来将json转换为java对象,很多公司都在使用,于201
Fastjson系列漏洞实战和总结
qq_50854662的博客
10-09 3246
Fastjson系列漏洞实战和总结
fastjson <= 1.2.80 反序列化任意代码执行漏洞
qq_18209847的博客
05-24 4550
fastjson <= 1.2.80 反序列化任意代码执行漏洞
fastjson 安全漏洞 实现演示
weixin_42710740的博客
12-24 2355
log4j2 远程代码注入漏洞 demo_灵耀的博客-CSDN博客 log4j 的demo中详细讲解了 RMI service服务的创建,这篇主要说明fastjson漏洞演示 主要是使用fastjson 的 @type注解 fastjson 版本1.2.61 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson&l
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 2668
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2532
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序之大道至简

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值