fastjson获取精确版本

最新推荐文章于 2024-08-08 17:20:38 发布
最新推荐文章于 2024-08-08 17:20:38 发布
阅读量5.9k 收藏 6
点赞数 2
分类专栏: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/107907489
版权
安全 同时被 2 个专栏收录
264 篇文章 9 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

参考:

条件是需要业务代码没有处理好异常信息。比如没有捕获异常,或者即便捕获了异常,但是将异常信息作为字符串返回了给客户端。

{"@type": "java.lang.AutoCloseable"
即便捕获了异常,但是将异常信息作为字符串返回了给客户端

在这里插入图片描述

对应代码:

    @RequestMapping(value = "/deserialize", method = {RequestMethod.POST })
    @ResponseBody
    public static String Deserialize(@RequestBody String params) {
        try {

            JSONObject ob = JSON.parseObject(params);

            return ob.toString();
        }catch (Exception e){
            e.printStackTrace();
            return e.toString();    // 将异常信息作为HTTP响应的一部分返回了
        }
没有捕获异常,于是异常被抛出返回给客户端

在这里插入图片描述
对应代码:

    @RequestMapping(value = "/deserializeE2", method = {RequestMethod.POST })
    @ResponseBody
    public static String DeserializeE2(@RequestBody String params) {
        JSONObject ob = JSON.parseObject(params);

        return ob.toString();
        // 并不捕获异常
    }
fastjson抛出的异常被捕获,且不返回异常信息

在这里插入图片描述

对应代码:

    @RequestMapping(value = "/deserializeE1", method = {RequestMethod.POST })
    @ResponseBody
    public static String DeserializeE1(@RequestBody String params) {
        try {
            JSONObject ob = JSON.parseObject(params);

            return ob.toString();
        }catch (Exception e){
            e.printStackTrace();
            // 并不返回异常信息
        }

        return "";
    }
caiqiiqi
关注
专栏目录
Fastjson显错判断版本号—一
afei001
10-07 1010
当没有做异常处理时,构造特殊字符使得Fastjson报错。方法来自于浅蓝,没有做异常处理会抛出异常,有时候会显示出fastjson版本号来。
com.alibaba.fastjson 序列化 反序列
weixin_41563161的博客
03-31 5294
fastjson 序列化反序列 目录 fastjson 序列化反序列 序列化 SerializeWriter成员变量 一 SerializeWriter成员函数 1 序列化整形数字 2 序列化长整形数字 3 序列化浮点类型数字 4 序列化...
fastjson版本jar包以及使用方法
07-19
https://blog.csdn.net/hykwhjc/article/details/81121224 fastJSON的使用
当系统部署到测试环境,或线上时,该如何查看当前FastJson版本
Kason的博客
04-12 7879
当系统部署到测试环境,或线上时,该如何查看当前FastJson版本 提示:看见网上很多方法,有的不是很实用了,近日自己将fastJson版本升级到了1.2.76;需要在系统中查看版本信息;用到了如下方法,故记录下来,供学习及参考: tips: 此处利用的是fastJson解析出错显示版本号 tips: 本人不是安全测试人员,用编程方式查看 tips: 这也是客户想看FastJson版本,做的一种处理,如果你的项目打成War包,那直接去pom文件查看即可 ps:本文的编写是为了,记录自己在学习过程中的一些
Java代码审计-fastjson反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1973
Fastjson反序列化漏洞各个版本的原理浅析。
fastjson被动探测
weixin_48776804的博客
07-21 604
fastjson被动探测
fastjson反序列化漏洞区分版本号的方法总结
yggcwhat
07-16 3009
fastjson反序列化漏洞区分版本号的方法总结
java使用FastJson解析Json数据
10-20
在处理这些复杂结构时,FastJson提供了`new TypeReference()`方法,允许开发者精确地指定泛型类型,从而准确地控制数据转换过程。 总的来说,FastJson作为Java开发者必备的一个库,在解析和生成JSON数据方面提供了...
fastjson-1.2.7.jar
05-23
在本文中,我们将深入探讨Fastjson的1.2.7版本,解析其核心特性、使用方法以及背后的实现原理。 1. **Fastjson简介** Fastjson的主要目标是提供一种快速、轻量级的方式来序列化和反序列化JSON对象。它支持将Java...
fastjson源码--进大厂的最后一脚
weixin_41563161的博客
12-24 1138
fastjson源码–进大厂的最后一脚 1.序 记得春招面试的时候的面试官问有读过什么源码没有,自己只是稍微看了一下fastjson的,并且当时最尴尬的是自己对着自己的笔记给面试官读的,然后就顺利的拿下了大厂的offer。所以源码还是值得读的。读源码会让我们有更多的思考在里面,学习的设计思想的魅力。今天就把fastjson整理一下。 2.详细 2.1 JSON 2.1.1 什么是JSON 让我们先来认识一下JSON是什么。以下是百度百科的内容。 简单来说, Json是一种轻量级的数据交换格式,采用一种“键
fastjson深度源码解析- 反序列化(一) - 反序列化解析介绍
商宗海的博客
02-05 5324
概要 fastjson核心功能包括序列化和反序列化,反序列化的含义是将跨语言的json字符串转换成java对象。遇到到反序列化章节,这里假定你已经阅读并理解了词法分析章节的内容。 反序列化的章节比序列化复杂一些,我认为通过调试小单元代码片段的方式有助于理解,我在适当的地方会给出单元测试入口,集中精力理解具体类型的实现。 现在,我们正式开始理解反序列化实现吧。 pu
测试fastjson与protobuf
04-20
fastjson与protobuf,自己测试用代码
fastjson多个版本 1.2.2、1.2.31、1.2.47、1.2.53、1.2.54、1.2.62、1.2.73、1.2.74版本
12-11
fastjson的多个版本fastjson 1.2.2版本fastjson 1.2.31版本fastjson 1.2.47版本fastjson 1.2.53版本fastjson 1.2.54版本fastjson 1.2.62版本fastjson 1.2.73版本fastjson 1.2.74版本
各个版本fastJson_jar包最新版
10-17
各个版本fastJson_jar包最新版,方便各位学习,交流互用
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
fastjson 各个 版本 jar
03-25
fastjson-1.1.35.jar ,fastjson-1.1.36.jar ,fastjson-1.1.37.jar ,fastjson-1.1.44.jar ,fastjson-1.2.3.jar,fastjson-1.2.4.jar
linux怎么看fastjson版本,fastjson 发布 1.1.2 版本
weixin_35110758的博客
05-01 1821
fastjson是一个性能极致的json库,fastjson使得json这个文本协议具备二进制协议的性能。fastjson 1.1.2是一个经过大量测试的版本,这个版本的发布目标就是提升稳定性,修正1.1.0以来因为优化性能导致性能不稳定的问题。这个版本增加了大量的testcase,行测试覆盖率99.5%,分支测试覆盖率94.8%,1311个test。为了保证大小,这版本删除了很多不必要的代码,其...
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan
gitblog_00045的博客
05-16 850
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan FastjsonScanFastjson扫描器,可识别版本、依赖库、autoType状态等。A tool to distinguish fastjson ,version and dependency项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan 在今天这个高度数字化的...
渗透测试-Fastjson 1.2.47 RCE漏洞复现
道阻且长,行则将至。
07-11 7226
漏洞概述 Fastjson是阿里巴巴公司开源的一款 json 解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson 近几年被爆出的反序列化 RCE 漏洞影响无数厂商,2017年官方主动爆出了 fastjson 1.2.24 的反序列化漏洞以及升级公告,fastjson 于1.2.24 版本后增加了反序列化白名单。 而在2019年6月,fastjson 又被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意
fastjson获取key
07-16
获取JSON数据中的key,可以使用fastjson提供的JSONObject类的方法。JSONObject类表示一个JSON对象,它可以根据提供的JSON字符串创建一个JSONObject对象,然后通过调用其相应的方法来获取JSON数据中的key。 例如,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值