Fastjson再曝反序列化漏洞,网友:Bugson又来了!

最新推荐文章于 2024-07-13 11:36:32 发布
最新推荐文章于 2024-07-13 11:36:32 发布
阅读量555 收藏 1
点赞数
文章标签: java 安全 json 人工智能 github
原文链接:https://mp.weixin.qq.com/s?__biz=MzIxMjE5MTE1Nw==&mid=2653241884&idx=2&sn=890daa329926e47d8aedc698b1b549db&chksm=8c9830c6bbefb9d0c80dee3dc054607869ef86232044203df5eb95c576f636f4be650f279edb&scene=126&&sessionid=0
版权

0b2ca6bfdfb206676edfa0f131b69ea3.png


近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞。

漏洞描述

Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。

Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全。

影响范围

Fastjson <= 1.2.80,如已开启safemode则不受该漏洞影响

修复建议

参考漏洞影响范围,目前 Fastjson Develop Team 已公布漏洞修复方案,请参考以下修复建议或官方文档进行修复:https://github.com/alibaba/fastjson/wiki/security_update_20220523

升级到最新版本1.2.83

升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响),可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看开启方法。

升级到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson 已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2 代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。

来源 | https://unsafe.sh/go-112793.html

程序员小灰
关注
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
fastjson2.x 记录】那些从1.x升级到2.x踩过的坑
02-12 9548
记录 fastjson 从 1.x 版本升级到 2.x 版本后出现的问题和解决方法,方便自己和大家查询。
2.0.34版本中fastjson2中bug与修复的分析
m0_62804324的博客
12-27 1581
fastjson2中的bug与修复分析
fastjson反序列化漏洞利用
最新发布
weixin_44414845的博客
07-13 875
漏洞利用环境和payload参考君来自:环境搭建注意点:配置一个好的镜像源。fastjson docker环境启动和关闭。
发现fastjson 2.0.32 版本的一个bug---数据转换错误
yang11qiang的博客
05-09 1248
最近参与一个新的项目,测试同事发现一个数据不对,数据库的数据明明是,但是界面显示的却是,这个差距太大了吧。。。一路跟踪代码没有发现任何问题,最后debug发现,jsonObject.toJavaObject(XX.class) 这行代码之后数据就不对了,不会吧,又是fastjsonbug?之前已经遇到一次,数据量太大,fastjson报空指针的问题(版本升级解决),现在又遇到,,,,老司机第一反应就是,小数嘛,是不是精度问题,但是和。
fastjson2.0.8 错误:fastjson2 not support input null
sayyy的专栏
10-09 1984
fastjson2.0.8 错误:fastjson2 not support input null
解决三更博客项目中出现的小BUG-01-使用fastjson序列化对象问题
m0_63445035的博客
04-11 251
解决三更博客项目中出现的小BUG-01-使用fastjson序列化对象问题
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
真能一快遮百丑?为什么要弃坑FastJson
勇往直前的专栏
04-16 2504
FastJson为何物 首先抄录一段来自官网的介绍:FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。 FastJsonJava程序员常用到的类库之一,相信点开这个页面的你,也肯定是程序员朋友。正如其名,“快”是其主要卖点。 真的很快吗? 没有调研就没...
fastjson反序列化漏洞
qq_56426046的博客
11-20 6992
在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列化对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 反序列化时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。fastjson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。
Fastjson2 <== 2.0.26反序列漏洞
黑剑
02-28 1853
根据@Y4TACKER作者在2023-03-20发布了一篇关于Fastjson原生反序列化的文章,文章中引入注入的是利用条件限制,不常常关注漏洞预警或者内容的几乎都是未发觉Fastjson2 到Fastjson2 2.0.26版本都有问题,其实如果单独去使用一些关键词去搜索:Fastjson2漏洞Fastjson2 Payload的结果内容比较乱比较杂,几乎参杂了Fastjson1的SEO搜索内容,那么就可能在一时没注意的情况下直接滑过。
记一次-fastjson-坑爹-BUG-带来的服务器瘫痪---
2401_85405832的博客
07-05 377
漏洞的关键点在com.alibaba.fastjson.parser.JSONLexerBase#scanString中,当传入json字符串时,fastjson会按位获取json字符串,当识别到字符串为\x为开头时,会默认获取后两位字符,并将后两位字符与\x拼接将其变成完整的十六进制字符来处理:而当json字符串是以\x结尾时,由于fastjson并未对其进行校验,将导致其继续尝试获取后两位的字符。
危机再度降临!FastjsonBug
weixin_43670535的博客
02-05 526
危机再度降临!FastjsonBug光,开发者震惊发现问题尚未解决。社区陷入紧急讨论,大家纷纷就如何处理这一意外展开热烈辩论。点击了解最新的Fastjson漏洞细节,与开发者们一同探讨应对之策
属性值有特殊符号导致fastjson反序列化失败处理
积跬步,至千里
09-30 2067
Java项目有一段时间了,感觉跟.net差别不是太大,遇到个小问题记录一下 1,遇到的问题是,反序列化时候对象属性值带有 &或者 ‘(单引号)都会导致反序列化失败. 2,解决办法是采用了。这个属性对应的值进行转码处理,试过(uft8,asc)等都不行,后面采用了转Ascii码后处理成功 方法如下,注意空值处理 /** * 字符串转换为Ascii * @param value * @return */ public static String stringToAscii(St...
(ruoyi-vue)字典报错com.alibaba.fastjson2.JSONException: class java.lang.String cannot be converted to...
m0_67199170的博客
02-13 2579
报错信息中可以发现首先这是一个由fastjson2引发的bug,在查阅相关资料和博客之后,了解到可能是由于fastjson2版本导致的问题,于是便更换了几次版本,结果却不尽人意,显然这个bugfastjson2的版本关系不是很大,还有一种说法是浏览器版本过低导致的,这种说法我没有去尝试,大家有空的话可以去尝试一下这个解决方案。于是我继续从报错信息中查找线索,定位到报错信息的第二行发现,这个bug是由fastjson2中的JSONArray这个类的toList()方法导致的。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6397
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
FastJson安全风险:多版本反序列化漏洞详解
这些 payload 如果被 FastJson 反序列化处理,可能会触发漏洞,从而暴露到 DNSLog 平台或其他监控工具,通过分析异常流量来发现潜在的漏洞利用尝试。 针对这些漏洞,用户应尽快更新 FastJson 到最新安全版本,确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值