Fastjson反序列化漏洞

最新推荐文章于 2024-05-20 23:13:23 发布
最新推荐文章于 2024-05-20 23:13:23 发布
阅读量879 收藏
点赞数
分类专栏: 网络安全-渗透篇 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Massimo__JAVA/article/details/131744042
版权

一、介绍

Fastjson是一款广泛应用于Java开发的JSON解析库,它提供了高效、方便、安全的序列化和反序列化功能。通过对Fastjson漏洞的研究,发现在其默认配置下,Fastjson存在高危漏洞,攻击者可以利用该漏洞执行任意代码,从而实现远程代码执行攻击。

二、漏洞原理

Fastjson漏洞的攻击原理基于Java反射机制,攻击者通过构造特定的JSON字符串触发Fastjson的反序列化操作,进而达到执行任意代码的且的。

三、特征

查看在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件,若存在fastjson-1.2.*.**.jar格式的jar文件,或者抓包发现被测应用系统的响应报文中包含"com.alibaba.fastjson"字符串,则需检测是否存在fastjson反序列化漏洞。

四、复现

1.2.24-rce

环境搭建
在这里插入图片描述访问
在这里插入图片描述下载JNDI利用工具
地址:https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0

最低0.47元/天 解锁文章
Massimo_ycw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实现 ResponseBodyAdvice 定制JSON 返回字段
Dangerous
04-22 3045
细粒度定制JSON返回字段,精确控制每一个接口方法返回的字段 1. 创建注解CustomReturnJson 标注在controller 的方法上。 示例: @RequestMapping("/testJson") @ResponseBody @CustomReturnJson(include = {"id","topicName","topicImg"}) ...
fastjson序列漏洞
qq_56426046的博客
11-20 6915
在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 序列时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。fastjson在解析json的过程中,⽀持使⽤autoType来实例某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。
fastjson序列漏洞原理
最新发布
m0_73649671的博客
05-20 987
fastjson序列漏洞原理
fastjson序列漏洞学习(一)
一剑开天门!的博客
02-10 3667
Fastjson 序列漏洞产生的原因通常是由于 Fastjson 库在序列 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
Fastjson序列漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3046
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在序列的时候就不需要再指定类名。
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson序列漏洞
p36273的博客
09-18 1671
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列),当然它也可以将 JSON 字符串转换为 Java 对象(序列)。
Fastjson序列漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson序列漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
Fastjson各版本序列EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson序列漏洞为例 1、此时/tmp目录 ![img]...
Java序列漏洞自动挖掘方法.pdf
08-21
Java序列漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。序列是将从磁盘或网络中读取的序列数据转换回内存中的对象的过程。在Java中,这一...
Java-Deserialization-Cheat-Sheet:关于Java序列漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列库中的序列漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
FastJsonPoc.zip
07-05
描述中提到,这个压缩包包含了利用Fastjson序列漏洞的详细步骤和注释,旨在帮助用户深入理解该漏洞的工作原理和如何进行测试。通过下载并导入这些代码,研究人员或安全专家可以复现漏洞,进行漏洞分析、防护策略...
【java安全】FastJson序列漏洞浅析
leekos的博客,分享web安全相关知识~
08-24 1590
前面我们学习了RMI和JNDI知识,接下来我们就可以来了解一下FastJson序列FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列为JSON字符串,也可以将JSON字符串序列到JavaBean。
fastjson序列漏洞fastjson-1.2.47)
zyer
04-28 3997
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行序列的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 2524
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
FastJson序列远程命令执行漏洞分析
moshao123的博客
03-17 834
FastJson序列漏洞分析 文章目录FastJson序列漏洞分析前言一、Fastjson的介绍二、简单使用1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
fastjson 1.2.24 序列导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1128
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
序列渗透与攻防(四)之Fastjson序列漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-15 675
是一个阿里巴巴开源的一款使用Java语言编写的高性能功能完善的JSON库,通常被用于将Java Bean和JSON 字符串之间进行转换。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列、协议交互、Web输出、Android客户端等多种应用场景。但是,从诞生之初,fastjson就多次被爆出存在序列漏洞。并且,每次都和autoType有关!那么,什么是autoType呢?
fastjson 序列漏洞
08-24
fastjson 序列漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 序列漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全的序列操作,导致攻击者能够执行任意代码或进行其他恶意操作。 这种漏洞通常是由于 fastjson序列过程中缺乏足够的安全检查和过滤机制,导致恶意用户能够构造特定的 JSON 字符串来触发漏洞。攻击者可以通过在 JSON 字符串中插入恶意的 Java 代码或利用已知的 Java 序列漏洞来执行任意代码。 为了防止 fastjson 序列漏洞的利用,建议遵循以下几点: 1. 尽量避免使用 fastjson 库,可以考虑使用其他更安全的 JSON 库。 2. 更新 fastjson 到最新版本,以获取最新的修复和安全增强功能。 3. 对用户输入的 JSON 字符串进行严格的验证和过滤,确保只有合法的、受信任的数据被序列。 4. 配置 fastjson 的 ParserConfig,限制序列操作只能处理预期的类型。 5. 避免在序列过程中执行不可信的代码,尽量将序列操作限制在有限的安全环境中。 总之,fastjson 序列漏洞是一个需要注意和防范的安全问题,开发者在使用 fastjson 库时应当保持警惕并采取相应的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值