【Java那些事】fastjson的0day漏洞涉及知识点

最新推荐文章于 2023-01-10 10:15:00 发布
最新推荐文章于 2023-01-10 10:15:00 发布
阅读量321 收藏
点赞数
分类专栏: Java 文章标签: java fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anzlinyu333333/article/details/103797649
版权

fastjson是较为常用的一个用户处理json数据的jar包,之前系统因为安全问题对fastjson升级,在此记录fastjson出现的漏洞原理。

com.alibaba.fastjson.parser.JSONLexerBase#scanString中,当传入json字符串时,fastjson会按位获取json字符串,当识别到字符串为x为开头时,会默认获取后两位字符,并将后两位字符与x拼接将其变成完整的十六进制字符来处理。当json字符串是以x结尾时,由于fastjson并未对其进行校验,将导致其继续尝试获取后两位的字符。也就是说会直接获取到u001A也就是EOF;当fastjson再次向后进行解析时,会不断重复获取EOF,并将其写到内存中,直到触发oom错误【当字符串中包含x转义字符时可能引发OOM】

OOM:OutOfMemory  内存溢出

EOF:EndOfFile

EOI:EndOfInput

字符串或者文本等的解析结尾为\n001A

 

一零oz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
fastjson 与一起堆内存溢出引发的‘血案‘
嘻哈熊的专栏
05-11 2364
问题现象 QA 同学反映登录不上服务器 排查问题 1-- 日志 查看 log, 发现玩家登录的时候抛出了一个 java.lang.OutOfMemoryError,大概出错代码是序列化一个 PlayerMirror 镜像数据保存到 Redis 的时候,但是在 JSON.toJSONString 的时候出现了错误。即序列化的时候需要扩容 expandCapacity,但是内存不足。 又看了一下日志,有好几个 OutOfMemoryError, 都是类似于用 fastjson 序列化 Playe..
fastjson反序列化0day漏洞分析
bluemoon_0的博客
01-10 412
fastjson反序列化0day漏洞分析
线上环境内存溢出-OutOfMemoryError
weixin_43480441的博客
12-06 1017
公司线上环境,出现内存溢出异常,发生时,cpu占用360%。系统可用内存不足。当 JVM 内存严重不足时,当堆内存(Heap Space)没有足够空间存放新创建的对象时,就会抛出 java.lang.OutOfMemoryError 错误。针对大部分情况,通常只需要通过 -Xmx 参数调高 JVM 堆内存空间即可。如果仍然没有解决,可以参考以下情况做进一步处理:当数据量过大时,发现页面响应过慢,卡住 后台执行命令 发现java程序 cpu 360% , 内存严重不足立即查看日志 发现异常:OutOfM
漏洞预警 | Fastjson远程代码执行0day漏洞
程序IT圈
07-25 240
点击上方“程序IT圈”,选择“置顶公众号”每天早晨8点50分,第一时间送达!本文整理于阿里社区前段时间,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞...
Fastjson存在0day漏洞
lyl_goahead的博客
03-28 882
Fastjson0day漏洞处理方法
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
高版本的fastjson-1.2.71解决安全漏洞
FastJson.java
09-04
com.alibaba.fastjson.JSON读写json
Java FastJson使用教程
10-14
主要介绍了如何使用FastJson,帮助大家将 Java 对象转换为 JSON 格式,感兴趣的朋友可以了解下
fastjson-1.2.66版 2020年最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #2866 修复纳秒级 Timestamp 解析异常问题 #2894 日期自动识别增强对纳秒时间的支持的 支持对Queue类型的反序列化 修复JSONField 在LocalDateTime类型时 format 不生效问题 修复JSONValidator有些场景不能识别非法JSON数据的问题 #3017 加强安全防护
fastjson1.2.8
03-17
截至2016-03-17 最新版fastjson包 亲测可用。
Java反序列化漏洞总结【fastjson为例】
z69183787的专栏
01-06 1407
前言 前段时间FastJson被曝高危漏洞,其实之前也被报过类似的漏洞,只是项目中没有使用,所以一直也没怎么关注;这一次刚好有项目用到FastJson,打算对其做一个分析。 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了[Fastjson远程代码执行漏洞](https://cert.360.cn/warning/detail?id=af8fea5f165df6198033de208983e2ad)的风险通告,漏洞等级:高危。Fastjson是阿里巴巴的开源JSON解析库,
Fastjson反序列化漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjsonjava的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。 二、fastjson反序列化漏洞原理 在反序列化的时候,会进入parseField方法,进
fastjason 0day 漏洞修复
撸起袖子加油干
04-18 1099
一、0day漏洞: 通常是指软件版本,一个新的版本出来之后,随之而来的破解版本在24小时内即会出现。前段时间,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。 二、DEMO: public class DemoTest { public static void main(String[] args) { String payload = "{\"name\":{\"@type\":\"jav...
FastJSON0day漏洞报告
weixin_30352191的博客
07-05 544
一、问题背景 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围很广 2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行 关于fastjs...
【踩坑小记】运行springBoot项目提示org.springframework.boot不存在
one-zero
03-29 1万+
某日在IDEA中新建了一个springBoot项目时第一次运行提示org.springframework.boot不存在,出现了一堆的红叉叉。 Error:(3, 32) java: 程序包org.springframework.boot不存在 Error:(4, 46) java: 程序包org.springframework.boot.autoconfig...
【踩坑】IDEA提交代码至github提示403--The requested URL returned error: 403
one-zero
12-08 3472
最近在利用IDEA提交代码至github遇到一个问题卡住很久,一直提示403,查看了一遍git配置发现没问题,后面看到是提交的用户有问题,不是自己的用户,所以无法找到远端的仓库地址。 提示报错: Failedwitherror:unabletoaccess'https://github.com/lin10/SSM-demo/':TherequestedURLreturne...
fastjson序列化漏洞
最新发布
07-25
Fastjson是一款流行的Java JSON库,用于序列化和反序列化Java对象和JSON数据。在Fastjson 1.2.24及之前的版本中存在一个安全漏洞,被称为Fastjson序列化漏洞Fastjson Deserialization Vulnerability)或Fastjson...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值