fastjson获取精确版本

最新推荐文章于 2024-08-08 17:20:38 发布
最新推荐文章于 2024-08-08 17:20:38 发布
阅读量5.9k 收藏 6
点赞数 2
分类专栏: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/107907489
版权
安全 同时被 2 个专栏收录
264 篇文章 9 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

参考:

条件是需要业务代码没有处理好异常信息。比如没有捕获异常,或者即便捕获了异常,但是将异常信息作为字符串返回了给客户端。

{"@type": "java.lang.AutoCloseable"
即便捕获了异常,但是将异常信息作为字符串返回了给客户端

在这里插入图片描述

对应代码:

    @RequestMapping(value = "/deserialize", method = {RequestMethod.POST })
    @ResponseBody
    public static String Deserialize(@RequestBody String params) {
        try {

            JSONObject ob = JSON.parseObject(params);

            return ob.toString();
        }catch (Exception e){
            e.printStackTrace();
            return e.toString();    // 将异常信息作为HTTP响应的一部分返回了
        }
没有捕获异常,于是异常被抛出返回给客户端

在这里插入图片描述
对应代码:

    @RequestMapping(value = "/deserializeE2", method = {RequestMethod.POST })
    @ResponseBody
    public static String DeserializeE2(@RequestBody String params) {
        JSONObject ob = JSON.parseObject(params);

        return ob.toString();
        // 并不捕获异常
    }
fastjson抛出的异常被捕获,且不返回异常信息

在这里插入图片描述

对应代码:

    @RequestMapping(value = "/deserializeE1", method = {RequestMethod.POST })
    @ResponseBody
    public static String DeserializeE1(@RequestBody String params) {
        try {
            JSONObject ob = JSON.parseObject(params);

            return ob.toString();
        }catch (Exception e){
            e.printStackTrace();
            // 并不返回异常信息
        }

        return "";
    }
caiqiiqi
关注
专栏目录
fastjson版本jar包以及使用方法
07-19
https://blog.csdn.net/hykwhjc/article/details/81121224 fastJSON的使用
代码审计.SpringBoot(Mini-Tmall).Fastjson
qq_34012951的博客
02-20 722
1、pom.xml文件,查看fastjson版本。2、版本存在漏洞,搜索关键特征。3、定位污点参数入口。
Java代码审计-fastjson反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1977
Fastjson反序列化漏洞各个版本的原理浅析。
当系统部署到测试环境,或线上时,该如何查看当前FastJson版本
Kason的博客
04-12 7879
当系统部署到测试环境,或线上时,该如何查看当前FastJson版本 提示:看见网上很多方法,有的不是很实用了,近日自己将fastJson版本升级到了1.2.76;需要在系统中查看版本信息;用到了如下方法,故记录下来,供学习及参考: tips: 此处利用的是fastJson解析出错显示版本号 tips: 本人不是安全测试人员,用编程方式查看 tips: 这也是客户想看FastJson版本,做的一种处理,如果你的项目打成War包,那直接去pom文件查看即可 ps:本文的编写是为了,记录自己在学习过程中的一些
fastjson最新版本_渗透测试中获取 fastjson 精确版本号的方法
weixin_39875192的博客
11-30 2238
背景上个月天天打游戏一直没更文,也没啥研究成果,这次就随便发点小技巧。没有技术含量,但在某些场景下也是可以运用得到。目前来看是可以影响到最新版本(1.2.73)的。细节之前在找 fastjson 漏洞时看了很多可能存在问题的代码。其中就包括 JavaBeanDeserializer 类。该类有一处值得关注的代码如下图。这里在某个条件成立后就会抛出一个异常。异常的 message 会把当前...
fastjson反序列化漏洞区分版本号的方法总结
yggcwhat
07-16 3011
fastjson反序列化漏洞区分版本号的方法总结
fastjson 各个 版本 jar
03-25
fastjson-1.1.35.jar ,fastjson-1.1.36.jar ,fastjson-1.1.37.jar ,fastjson-1.1.44.jar ,fastjson-1.2.3.jar,fastjson-1.2.4.jar
fastjson最新版本库1.2.47
12-25
在1.2.47这个版本中,Fastjson 继续优化了性能,提升了稳定性,为开发者提供了更强大的JSON处理能力。 1. **基本概念** - JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,易于人阅读和编写,同时...
fastjson1.2.2版本.jar
06-13
标题中的"fastjson1.2.2版本.jar"指的是FastJSON库的1.2.2版本的Java Archive(JAR)文件,这是一个包含了FastJSON库所有类和资源的打包文件,方便在Java项目中作为依赖使用。 FastJSON的核心功能在于它能够便捷地...
Fastjson1.2.47以及之前的所有版本
10-26
RCE漏洞允许攻击者通过恶意构造的JSON数据,使得Fastjson解析时执行非预期的代码,进而可能获取服务器权限、篡改数据或执行其他恶意操作。 具体来说,Fastjson的某些特性,如`parseObject`和`parseArray`方法,没有...
Fastjson显错判断版本号—一
afei001
10-07 1013
当没有做异常处理时,构造特殊字符使得Fastjson报错。方法来自于浅蓝,没有做异常处理会抛出异常,有时候会显示出fastjson版本号来。
FastJson-安全
xlsj雪松的博客
01-03 4229
1 FastJson介绍 FastJson的主要功能就是将Java对象序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把一个Java对象转换成字符串,有两种选择: 1)基于属性 fastjson引入了AutoType,即在序列化的时候使用@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型。 2)基于setter/getter 当我们要对他进行序列化的时候,fastjson会扫描其中的getter方法,即找到getName和getFrui
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2433
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
fastjson版本查看_fastJson-issues/2779 的复盘
weixin_39774044的博客
11-21 1633
近日看到B站up"硬核空间JAVA"在线修fastjson 的Bug,感到收益匪浅,所以自己按照他的思路重新也修一遍bug(已提供可复现的源码,求fix)fastjson无法反序列化超出某种限制的类 · Issue #2779 · alibaba/fastjson​github.com大家可以围观一下这个issuses,然后我们来复盘一下整个过程。因为bug已经修复,我们可以下载完代码切到bug修...
linux怎么看fastjson版本,fastjson 发布 1.1.2 版本
weixin_35110758的博客
05-01 1821
fastjson是一个性能极致的json库,fastjson使得json这个文本协议具备二进制协议的性能。fastjson 1.1.2是一个经过大量测试的版本,这个版本的发布目标就是提升稳定性,修正1.1.0以来因为优化性能导致性能不稳定的问题。这个版本增加了大量的testcase,行测试覆盖率99.5%,分支测试覆盖率94.8%,1311个test。为了保证大小,这版本删除了很多不必要的代码,其...
fastjson版本查看_重磅!Dubbo 2.7.7 发布,FastJson 升级了!
weixin_39629969的博客
11-30 543
击上方的终端研发部,右上角选择“设为星标”每日早9点半,技术文章准时送上公众号后台回复“学习”,获取作者独家秘制精品资料来源作者:局长原文链接:www.oschina.net/news/115796/dubbo-2-7-7-released正文Apache Dubbo 2.7.7 已发布,这是一款高性能、轻量级的开源 JavaRPC框架,它提供了三大核心能力:面向接口的远程方法调用、...
Fastjson 使用指南
zhuyuchao11的博客
11-26 492
1. 什么是fastjson? fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson使用场景 Fastjson已经被广泛使用在各种场景,包括cache存储、RPC通讯、MQ通讯、网络协议通讯、Android客户端、Ajax服务器处理程序等等。
Fastjson历史版本记录
why811的博客
10-12 248
TemplatesImpl,利用条件苛刻,需要开启JdbcRowSetImpl利用链的JDNI注入,有RMI和LDAP两种利用方式,不过有JDK版本限制,具体见。
linux怎么看fastjson版本,fastjson怎么查看版本
weixin_35679869的博客
05-01 7530
FastJSON是一个Java语言编写的高性能,功能完善,可是在使用的过程中,想查看fastjson版本如何操作?那么今天我们就给大家讲解一下fastjson查看版本的方法。看Maven的pom.xml配置文件fastjson1.2.13fastjson如何解析复杂嵌套json字符串?这个实例是我在开发中用到的,先给出要解析的json字符串[{"id":"user_list","key":...
fastjson获取key
07-16
获取JSON数据中的key,可以使用fastjson提供的JSONObject类的方法。JSONObject类表示一个JSON对象,它可以根据提供的JSON字符串创建一个JSONObject对象,然后通过调用其相应的方法来获取JSON数据中的key。 例如,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值