探索快速且精准的Fastjson漏洞检测工具:FastjsonScan

最新推荐文章于 2024-06-23 14:22:59 发布
最新推荐文章于 2024-06-23 14:22:59 发布
阅读量628 收藏 4
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00045/article/details/138948094
版权

探索快速且精准的Fastjson漏洞检测工具:FastjsonScan

在今天这个高度数字化的时代,数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱。然而,随之而来的是频繁出现的安全隐患。为此,我们向您推荐一款强大且持续更新的漏洞探测工具——FastjsonScan,旨在帮助您及时发现并解决Fastjson的反序列化漏洞。

项目介绍

FastjsonScan是一款专为探测Fastjson漏洞设计的工具,它涵盖了探测、利用、混淆和绕过JDK等多个模块。此项目以快速、精准为特点,尤其适用于不断演进的Fastjson新版本。作者承诺将持续优化,确保其始终适应最新的Fastjson环境。

项目技术分析

FastjsonScan采用了多种技术手段来全面检测Fastjson的漏洞。这些技术包括:

  • 批量接口探测:可以一次性检查多个接口,提高扫描效率。
  • 区间探测:针对1.2.83之前的版本,如48、68、80三个关键安全版本,进行精细探测。
  • 报错回显探测:通过触发错误信息返回,判断Fastjson的版本。
  • DNS出网检测:利用DNS通信,判断系统是否能访问外部网络。
  • AutoType状态检测:检测Fastjson的AutoType特性是否开启,这是一项重要的安全配置。
  • 依赖库检测:识别目标系统的其他JSON解析库,辅助判断风险。
  • 延迟检测:通过响应时间变化,确定可能存在的漏洞。

项目及技术应用场景

无论是企业级应用还是个人开发项目,如果你的系统使用了Fastjson,那么FastjsonScan就是你的理想之选。例如:

  • 在软件发布前进行安全性审计。
  • 定期进行安全检查,预防潜在漏洞。
  • 对第三方API或服务的安全性评估。

项目特点

  • 兼容性广:FastjsonScan支持从低到高的各种Fastjson版本。
  • 自动化程度高:可批量处理多个URL,省时省力。
  • 灵活性强:具备多种探测策略,适应不同场景。
  • 持续更新:开发者承诺持续优化,跟进最新漏洞信息。

最后,作者鼓励用户在使用过程中遇到问题时积极提出问题,以共同提升工具的效能。让我们一起打造更安全的数字环境!

仰北帅Bobbie
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
亲手带你 Debug Fastjson 的安全漏洞
代码界的扛把子
04-28 2246
简介 Java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjsonfastjson是阿里巴巴一个开源的json相关的java library,地址在这里, https://github.com/alibaba/fastjsonFastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对象,效率较高,被广泛的用在web服务以及android上,它的JSONString()方法可以将java的对象转换成j
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
BurpSutie拓展插件推荐-漏洞扫描插件
Boom!脑洞大爆炸的博客
07-04 2801
BurpSutie拓展插件推荐-漏洞扫描插件
fastjson1.2.47远程代码执行&JNDI漏洞利用工具
最新发布
归零者的博客
06-23 771
Fastjson是一种Java库,用于处理JSON数据。它提供了一种简单高效的方式,用于将Java对象序列化为JSON,以及将JSON反序列化为Java对象。Fastjson以其高速和低内存消耗而闻名,因此在Java应用中广泛应用于JSON的序列化和反序列化。它支持各种功能,如JSON解析、序列化、反序列化以及对JSON数据的操作。Fastjson被广泛应用于Web应用、移动应用和其他基于Java的系统中,用于处理JSON数据。
探索Fastjson漏洞利用工具:Fastjson_rec_exploit
gitblog_00042的博客
04-19 507
探索Fastjson漏洞利用工具:Fastjson_rec_exploit 项目地址:https://gitcode.com/mrknow001/fastjson_rec_exploit 在软件开发中,安全是至关重要的一环。尤其是当我们处理JSON数据时,一个小小的疏忽可能导致严重的安全问题。Fastjson是一款由阿里巴巴开发的高性能Java JSON库,但过去曾出现过一些安全漏洞。为了解决这些...
JsonExp!fastjson漏洞批量检测工具
leah126的博客
03-23 934
若出现dnslog回弹,可根据前面的编号去寻找对应的payload自1.4.0版本起,编号由7-9位的随机数字+字母组成编号.地址随机地址自1.4.0版本新增功能,参考自pocsuite3需挂全局代理才能访问并申请资源,使用此功能将对发包速度产生较大影响。若存在dnslog回弹结果,将会生成/result/xxx_dnslog.html文件,没触发dnslog则不会生成该文件。LDAP检测若为内网环境/目标无法DNS解析时,可使用工具在本地/云服务器起一个LDAP服务。
Fastjson扫描测试工具.rar
09-08
在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析
FastJSON工具类测试
huangxw000的专栏
03-16 1079
FastJSON是一个很好的java开源json工具类库,相比其他同类的json类库,它的速度的确是fast,最快!但是文档做得不好,在应用前不得不亲测一些功能。   实际上其他的json处理工具都和它差不多,api也有几分相似。   一、JSON规范 JSON是一个标准规范,用于数据交互,规范的中文文档如下: http://www.json.org/json-zh.html
fastjson漏洞批量检测工具
weixin_46211944的博客
09-07 550
将工具的流量代理到burpsuite中(此工具不能适应所有的情况,可通过该方式对payload进行适当调整)将请求中需要检测的位置替换为$payload$,其余位置不变,保存为req.txt(文件名任意)格式: {.........$type$://$ip$/路径....}#注释内容​​​​​​​。此时LDAP服务器可收到路径信息,可根据路径信息来定位触发漏洞的payload。若使用-req参数进行检测时,需要设置需要检测的变量值位置。格式:​​​​​​​。注意:​​​​​​​。注意:​​​​​​​。
Struts 2 全版本漏洞检测工具 18.09 过waf版
02-09
1、点击“检测漏洞”,会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-033/037、DevMode、S2-045/046、S2-048、S2-053、S2-057十余种漏洞。 2、“批量验证”,...
FastScan用于敏感词过滤的ahocorasick算法快速文本搜索JS实现
08-09
FastScan - 用于敏感词过滤的 ahocorasick 算法快速文本搜索JS实现
fastjson各版本jar包以及使用方法
07-19
https://blog.csdn.net/hykwhjc/article/details/81121224 fastJSON的使用
Apache Log4j2 远程代码执行漏洞检测工具
12-15
使用这些检测工具,用户可以快速定位并解决Log4j2漏洞,防止恶意攻击者利用该漏洞对系统进行控制。重要的是,不仅要运行这些工具,还应结合其他安全措施,例如更新到最新的Log4j2补丁版本,审查和加固日志配置,以及...
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
这个标题提到的是一个全面的Struts 2漏洞检测工具,旨在帮助开发者和安全专家识别并修复Struts 2框架中的各种安全漏洞。 Struts 2的安全问题主要源于其OGNL(Object-Graph Navigation Language)表达式语言的使用,...
Fastjson批量检查及一键利用工具
qq_50854662的博客
10-30 3861
0x01 序章 上次讲解过手动利用fastjson,但讲的过于太简单了。根据大家的反应,收集如下几个问题。 1、如何盲打fastjson 2、判断fastjson的指纹 3、各版本payload以及使用ldap模式监听。 下面我就一一解答,我只是把我在网上查到的资料消化 后分享给大家,如果有大佬觉得哪里不对,还望不吝赐教。这次还带来了一键利用及检测工具,链接在文末。 注:本文仅用于技术讨论与研究,严禁用于任何违法用途,违者后果自负 0x02 环境搭建 这个不用多说了吧,使用vulhub搭建。 启动fastj
Fastjson反序列化漏洞
mingyqf的博客
12-03 423
原文链接:https://blog.csdn.net/Curry197/article/details/125090159Curry197 已于 2022-06-01 21:22:57 修改 2786 收藏 2 分类专栏: 漏洞复现 文章标签: 安全 web安全 网络 版权 漏洞复现 专栏收录该内容 2 篇文章 0 订阅 订阅专栏参考链接:fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)_GeekCoderBrick的博客-CSDN博客_fastjson反序列化漏洞
FastJson漏洞工具
dahe
06-15 5050
有的时候,我们在渗透ceshi 1.下载地址 https://github.com/nex121/FastjsonEXP
【星落】Fastjson 漏洞复现
星星得不到爱火QAQ的博客
01-20 1021
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

仰北帅Bobbie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值