绿盟科技网络安全攻防实验室安全研究员廖新喜：Java JSON 反序列化之殇

11月18号，2017看雪安全开发者峰会在北京悠唐皇冠假日酒店举行。来自全国各地的开发人员、网络安全爱好者及相应领域顶尖专家，在2017看雪安全开发者峰会汇聚一堂，只为这场“安全与开发”的技术盛宴。

随着REST API的流行，JSON的使用也越来越多，但其中存在的安全问题却不容忽视，特别是由于反序列化导致的远程代码执行更是威力十足。虽然反序列化漏洞出来已有一段时间，前期的一些防御方案随着时间的推移不再有效，但是却传播广泛。

绿盟科技网络安全攻防实验室安全研究员廖新喜为大家阐述了由Java JSON库的反序列化特性导致的RCE，议题内容涉及Gson、Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作，并分析其安全机制，从安全机制上发现其潜在的安全漏洞。另外，他还公布了部分未公开的反序列化payload、0day。

绿盟科技网络安全攻防实验室安全研究员廖新喜

廖新喜（xxlegend），绿盟科技网络安全攻防实验室安全研究员，擅长代码审计，Web漏洞挖掘，拥有丰富的代码审计经验，曾在Pycon 2015 China大会上分享Python安全编码。安全行业从业六年，做过三年开发，先后担任绿盟科技极光扫描器的开发和开发代表。目前专注于Web漏洞挖掘、Java反序列化漏洞挖掘。曾向RedHat、Apache、Amazon和Oracle提交多份漏洞报告。2016年网络安全周接受央视专访。《谁动了我的VIP账号？》

以下为演讲速记：

廖新喜：反序列化漏洞在这两年影响非常广泛，主持人也介绍了，今天我主要讲Java json 反序列化，也会讲到Java反序列化防御。我叫廖新喜，来自绿盟科技。首先介绍一下json，再介绍json安全特性，接着会介绍Fastjson 反序列的PoC。最后讲解Java防序列化防御。json是什么，就是一个大的数据结构，有一些键值对。Gson，是谷歌公司发布的一个开源代码的Java库，用于序列化和反序列化，序列化即将Java对象转换成JSON结构，而反序列刚好相反，则是将JSON字符串结构转换成Java对象。这是GSON应用的的实例，Gson提供了toJson与fromJson两个转换函数,实现JSON字符串和Java对象的转换。

Fastjson是由阿里巴巴开发，号称速度非常快。提供两个主要接口toJsonString和parseObject来分别实现序列化和反序列化。使用方法介绍完了，进入今天的正题，JSON的安全特性。首先我们看一下GSON，会用到默认的构造函数，如果没有找到的话会调用sun.misc.Unsafe生成一个实例，Gson默