推荐项目:Fastjson-Blacklist - 安全增强版Fastjson

最新推荐文章于 2024-05-10 19:27:07 发布
最新推荐文章于 2024-05-10 19:27:07 发布
阅读量351 收藏 4
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00042/article/details/138180504
版权
Fastjson-Blacklist是一个安全增强的Fastjson版本,通过黑名单机制防止RCE和数据泄露。它保持API兼容,性能损失小,适合Web和Android应用,内置安全防护,易于迁移,定期更新漏洞修复。
摘要由CSDN通过智能技术生成

推荐项目:Fastjson-Blacklist - 安全增强版Fastjson

是一个基于阿里巴巴开源的 Fastjson 的安全增强版本,旨在为开发者提供更安全、可控的数据序列化与反序列化体验。Fastjson是一个Java语言编写的高性能功能完备的JSON库,而Fastjson-Blacklist则在此基础上添加了针对某些已知漏洞的安全防御策略。

技术分析

  1. 安全黑名单: Fastjson-Blacklist包含了一套黑名单机制,它阻止了某些可能导致远程代码执行(RCE)或者敏感数据泄露的特性。这些特性在常规的Fastjson中可能导致安全问题,但在Fastjson-Blacklist中已被禁用或限制。

  2. 兼容性: 尽管增加了安全性,但Fastjson-Blacklist尽量保持了对原Fastjson API的兼容,这意味着你可以在大多数情况下无缝地替换原有Fastjson依赖,而不需要大规模修改现有代码。

  3. 性能影响: 虽然额外的安全检查可能会带来一定的性能损失,但经过优化,这种影响被尽可能地降低,确保在保证安全的同时,仍能提供良好的性能。

  4. 持续更新: 项目维护者会密切关注Fastjson的官方更新,并及时将安全修复和改进引入到Fastjson-Blacklist中,以确保项目的最新性和安全性。

应用场景

  • 在Web应用程序中进行JSON数据的解析和生成,尤其是在涉及用户输入或外部API交互时。
  • 用于Android应用开发,处理服务器返回的JSON数据。
  • JSON数据的安全存储和传输,特别是在需要防止恶意数据注入的情况下。

特点

  1. 内置安全防护:自动防止单个字符数组反序列化、__sizeOf__ 等已知漏洞。
  2. 可配置性:你可以根据自身需求选择开启或关闭特定的防御策略。
  3. 易迁移:与原始Fastjson的API高度兼容,迁移成本低。
  4. 持续监控:定期跟进并修复Fastjson的新发现漏洞。

结论

如果你的项目正在使用Fastjson,并且关心数据安全,那么Fastjson-Blacklist是一个值得尝试的选择。其强大的安全特性,配合原有的高效性能,可以为你的应用程序构建一道坚实的安全屏障。立即试用并开始享受更加安心的JSON操作吧!

尚舰舸Elsie
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
fastjson-1.2.66版 2020年最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #2866 修复纳秒级 Timestamp 解析异常问题 #2894 日期自动识别增强对纳秒时间的支持的 支持对Queue类型的反序列化 修复JSONField 在LocalDateTime类型时 format 不生效问题 修复JSONValidator有些场景不能识别非法JSON数据的问题 #3017 加强安全防护
fastjson项目Fastjson-master.zip
04-03
5. **安全性**:针对JSON注入攻击,Fastjson提供了安全模式,增强了代码的安全性。 三、核心功能 1. **JSON串到Java对象的转换**:Fastjson提供了`parseObject()`方法,可以将JSON字符串解析成Java对象,如Map、...
安全版本fastjson
karlif的博客
10-27 951
记录一下安全版本fastjson
FastJson-安全
xlsj雪松的博客
01-03 4220
1 FastJson介绍 FastJson的主要功能就是将Java对象序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把一个Java对象转换成字符串,有两种选择: 1)基于属性 fastjson引入了AutoType,即在序列化的时候使用@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型。 2)基于setter/getter 当我们要对他进行序列化的时候,fastjson会扫描其中的getter方法,即找到getName和getFrui
2024年Fastjson开启安全模式5种方法(VIP典藏版)(1),2024年最新网络安全开发热门前沿知识
最新发布
05-10 1352
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Fastjson开启安全模式5种方法(VIP典藏版)
慕白Lee的博客
06-08 1万+
一、Fastjson漏洞事件始末 1、AutoType 2、AutoType是谁-为啥使用-为啥出错 3、目前已升级至1.2.83 二、打开SafeMode功能 1. 在代码中配置 2. 加上JVM启动参数 3. 通过fastjson.properties文件配置。 4. safeMode场景如何做autoType 5. 怎么判断是否用到了autoType 6. 使用JSONType.autoTypeCheckHandler......
Fastjson 1.2.66 版本发布,继续加固安全
程序猿DD
03-04 2201
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!来源 |https://www.oschina.net/news/113770/fastjson-1-2...
fastjson-1.1.37-API文档-中文版.zip
04-27
赠送jar包:fastjson-1.1.37.jar; 赠送原API文档:fastjson-1.1.37-javadoc.jar; 赠送源代码:fastjson-1.1.37-sources.jar; 赠送Maven依赖信息文件:fastjson-1.1.37.pom; 包含翻译后的API文档:fastjson-...
fastjson-1.2.54-API文档-中文版.zip
07-09
包含翻译后的API文档:fastjson-1.2.54-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.alibaba:fastjson:1.2.54; 标签:alibaba、fastjson、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用...
fastjson-1.2.72-API文档-中文版.zip
06-06
包含翻译后的API文档:fastjson-1.2.72-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.alibaba:fastjson:1.2.72; 标签:alibaba、fastjson、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用...
版本fastjson-1.2.71解决安全漏洞.rar
04-14
然而,随着广泛使用,Fastjson在早期版本中出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和其他安全风险。在标题提到的“高版本fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过...
autotype安全 fastjson_Fastjson 安全更新,建议升级到 1.2.28 或更新版本
weixin_39640008的博客
12-22 952
安全升级公告最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本。更新方法1. Maven 依赖配置更新通过 maven 配置更新,使用最新版本,如下:com.alibabafastjson1.2.282. 直接下载常见问题1. 升级遇到不兼容问题怎么办?1.2.28 已经修复了绝大多数兼容问题,但是总会有一些特殊的用法...
探索Fastjson-1.2.47-RCE:一个强大的JSON处理库的安全与利用
gitblog_00045的博客
03-27 272
探索Fastjson-1.2.47-RCE:一个强大的JSON处理库的安全与利用 项目地址:https://gitcode.com/CaijiOrz/fastjson-1.2.47-RCE Fastjson是一个由阿里巴巴开发的高性能Java JSON库,它允许用户在Java对象和JSON数据之间进行快速转换。然而,任何流行的库都可能有其安全问题, Fastjson-1.2.47版本中的远程代码执...
安全问题我们需要重视,立刻升级fastjson2
詹Sir的博客
06-13 1125
fastjson、jackson 都支持 AutoType 功能,这个功能在序列化的 JSON 字符串中带上类型信息,在反序列化时,不需要传入类型,实现自动类型识别。很多时候,root对象是可以知道类型的,里面的对象字段是基类或者不确定类型,这个时候不输出root对象的类型信息,可以减少序列化结果的大小,也能提升反序列化的性能。fastjson2 在性能和安全上都得到了很好的提升,开源字节开快速开发平台已经完成了升级,代码改动较大,fork了我们仓库的同学请及时更新,安全无小事,请慎重。
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 2465
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
组件安全(Solr、Shiro、Log4j、Jackson、FastJson、XStream)
weixin_65049289的博客
04-13 1060
常见组件安全
你看,Fastjson 漏洞也太多了吧。。
Java技术栈,分享最主流的Java技术
11-04 217
点击关注公众号,Java干货及时送达作者:4ra1n来源:https://www.anquanke.com/post/id/248892Fastjson已被大家分析过很多次,本文主要是对...
Fastjson 漏洞分析
systemino的博客
07-14 4730
作者:icematcha@云影实验室 0x00前言 近日,Fastjson被传爆出新的“0day”,也引起了大家的高度关注。云影实验室第一时间进行了跟进和分析,通过分析我们发现,此次的漏洞并不算新的漏洞,其实官方早在去年五月就已经推出了相关补丁修复,但可能没有发布相关的安全通告,导致许多用户没有及时升级处理,而在此次护网中就谣传变成了现在的“0day”。PHP大马 此次漏洞利用的核心...
建议将com.alibaba:fastjson升级至1.2.83
热门推荐
闫玉林的博客
02-25 1万+
【代码】存在安全漏洞,建议将com.alibaba:fastjson升级至1.2.83。
fastjson-1.2.47下载
07-03
### 回答1: 要下载Fastjson-1.2.47,您可以按照以下步骤进行: 1. 打开您喜欢使用的浏览器,例如谷歌浏览器,火狐浏览器等。 2. 在搜索栏中输入"Fastjson-1.2.47下载",点击搜索按钮。 3. 在搜索结果中,您可能会找到许多网站提供的Fastjson-1.2.47的下载链接。选择一个您信任的官方网站,或者选择一些广受好评的下载站点。 4. 点击您选择的下载链接,进入Fastjson-1.2.47的下载页面。 5. 在下载页面上,您可能会看到一些说明和选项。根据您的需求,选择适当的选项,例如下载版本(如果有多个版本提供),下载平台等。 6. 点击"下载"按钮,开始下载Fastjson-1.2.47。 7. 下载完成后,找到下载的文件。通常情况下,它会保存在您的计算机的默认下载文件夹中。 8. 双击下载的文件,运行安装程序。按照提示完成安装过程。 9. 安装完成后,您现在可以使用Fastjson-1.2.47进行开发和其他操作了。 请注意,在任何时候下载软件时,要确保从可信的来源下载软件,并在安装之前使用杀毒软件进行扫描,以确保安全性。 ### 回答2: fastjson-1.2.47是一个用于Java编程语言的JSON(JavaScript Object Notation)解析器和生成器。它可以将Java对象转换为JSON格式的字符串,并将JSON字符串转换为对应的Java对象。要下载fastjson-1.2.47,您可以按照以下步骤进行操作: 1. 打开一个网页浏览器,进入fastjson的官方下载页面。 2. 在页面上找到fastjson-1.2.47的下载链接,并单击它。 3. 选择您希望将fastjson-1.2.47下载到的位置。这可以是您的计算机上的任何文件夹或目录。 4. 单击“下载”按钮开始下载fastjson-1.2.47。 5. 等待下载完成。下载速度取决于您的互联网连接速度和下载文件的大小。 6. 下载完成后,在您选择的目标位置找到下载的fastjson-1.2.47文件。 7. 可能需要解压缩fastjson-1.2.47文件(如果下载的是压缩包)。您可以使用解压缩软件(如WinRAR或7-Zip)来执行此操作。 8. 现在,您可以在您的Java项目中使用fastjson-1.2.47了。将fastjson的JAR文件添加到您的项目构建路径中,并根据fastjson的文档或示例代码来使用它。 通过按照上述步骤下载并使用fastjson-1.2.47,您将能够在您的Java项目中轻松地解析和生成JSON数据。 ### 回答3: 要下载fastjson-1.2.47,可以按照以下步骤进行操作: 1. 打开浏览器,进入fastjson的官方网站。 2. 在网站的顶部导航栏或页面中找到“下载”选项,并点击进入下载页面。 3. 在下载页面中,找到fastjson-1.2.47版本的下载链接,一般会以类似于“Download JSON-1.2.47”的形式呈现。 4. 点击下载链接,浏览器将开始下载fastjson-1.2.47的压缩包(通常为zip或tar.gz格式)。 5. 下载完成后,解压缩该压缩包到指定的目录中。 6. 接下来,可以根据需要将fastjson-1.2.47导入到项目中。可以使用IDE,如Eclipse或IntelliJ IDEA,在项目中创建一个新的库,并将解压后的fastjson文件夹添加到该库中;或者直接将fastjson的jar文件添加到项目的classpath中。 7. 确保正确导入fastjson后,即可开始使用fastjson-1.2.47进行JSON数据的处理和操作。 总结:要下载fastjson-1.2.47,首先访问fastjson的官方网站,找到下载页面并下载该版本的压缩包。然后解压缩,并将其导入到项目中,即可开始使用fastjson-1.2.47。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尚舰舸Elsie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值