FastjsonScan 使用教程

最新推荐文章于 2024-09-13 21:37:59 发布
最新推荐文章于 2024-09-13 21:37:59 发布
阅读量333 收藏 8
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00224/article/details/141081595
版权

FastjsonScan 使用教程

FastjsonScanFastjson扫描器,可识别版本、依赖库、autoType状态等。A tool to distinguish fastjson ,version and dependency项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan

项目介绍

FastjsonScan 是一个用于检测 Fastjson 反序列化漏洞的工具。Fastjson 是阿里巴巴开源的一款高性能的 JSON 库,但由于其灵活性和广泛的使用,也带来了一些安全风险。FastjsonScan 旨在帮助安全研究人员和开发人员快速识别和修复这些潜在的安全问题。

项目快速启动

安装

  1. 克隆项目仓库:

    git clone https://github.com/a1phaboy/FastjsonScan.git

  2. 进入项目目录:

    cd FastjsonScan

  3. 编译项目(假设你已经安装了 Java 和 Maven):

    mvn clean install

  4. 运行 FastjsonScan:

    java -jar target/FastjsonScan-1.0-SNAPSHOT.jar

使用

  1. 在 Burp Suite 中加载 FastjsonScan 插件:

    • 打开 Burp Suite。
    • 进入 Extender -> Extensions
    • 点击 Add,选择编译好的 FastjsonScan-1.0-SNAPSHOT.jar 文件。

  2. 发送请求到 FastjsonScan:

    • 在 Burp Suite 中选择一个请求。
    • 右键点击请求,选择 Send to FastjsonScan

  3. 等待扫描结果:

    • 扫描完成后,FastjsonScan 会显示结果。如果存在漏洞,会展示使用的 payload;如果没有漏洞,则会展示原始的请求与响应。

应用案例和最佳实践

应用案例

假设你是一家公司的安全工程师,负责定期扫描公司的 Web 应用以发现潜在的安全漏洞。你使用 FastjsonScan 对公司的 API 进行扫描,发现了一个 Fastjson 反序列化漏洞。通过及时修复,避免了潜在的安全风险。

最佳实践

  1. 定期扫描:定期使用 FastjsonScan 对所有使用 Fastjson 的接口进行扫描,确保及时发现并修复漏洞。
  2. 结合其他工具:将 FastjsonScan 与其他安全扫描工具结合使用,形成完整的安全防护体系。
  3. 持续更新:关注 FastjsonScan 的更新,及时升级到最新版本,以支持最新的 Fastjson 版本和漏洞检测。

典型生态项目

Burp Suite

Burp Suite 是一个广泛使用的 Web 安全测试工具,FastjsonScan 作为一个插件,可以很好地集成到 Burp Suite 中,提供更全面的安全测试功能。

Fastjson

Fastjson 是 FastjsonScan 的主要检测对象,了解 Fastjson 的最新版本和安全更新,可以帮助更好地使用 FastjsonScan 进行漏洞检测。

DNSLog

DNSLog 是一种用于检测漏洞的工具,FastjsonScan 在检测过程中使用了 DNSLog 技术,通过 DNS 出网检测来确认漏洞的存在。

通过以上介绍和使用指南,希望你能快速上手并有效利用 FastjsonScan 进行 Fastjson 反序列化漏洞的检测和防护。

FastjsonScanFastjson扫描器,可识别版本、依赖库、autoType状态等。A tool to distinguish fastjson ,version and dependency项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan

蔡怀权
关注
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
FastJson反序列化漏洞(实验文章)
soldi_er的博客
11-25 694
文章目录Json数据格式FastJson类库Json的三个类库下载Jar压缩包Autotype功能参考 Json数据格式 JSON是一种轻量级的数据交换格式,全称:JavaScript 对象表示法(JavaScript Object Notation) 类比XML,你可以把JSON看作是一种存储数据的格式类型,一种数据规范。描述JSON格式数据的语法只是采用了JS对象字面量的表示方法,它独立于语言存在,只是在不同的编程语言中对这种数据类型的实现不同。 FastJson类库 Json的三个类库 Java处理J
FastjsonScan 安装和配置指南
最新发布
gitblog_07600的博客
09-13 377
FastjsonScan 安装和配置指南 FastjsonScan 一个简单的Fastjson反序列化检测burp插件 项目地址: https://gitcode.com/gh_mirrors/fas/FastjsonScan ...
BurpSuite插件 -- FastjsonScan(反序列化检测)
weixin_41489908的博客
12-24 7151
你可以因为现任不好二分手,但千万不要认为别人更好,永远有人更好,眼下便是更好。。。 ---- 网易云热评 一、插件介绍: 一个简单的Fastjson反序列化检测burp插件,我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 二、...
探索快速且精准的Fastjson漏洞检测工具FastjsonScan
gitblog_00045的博客
05-16 926
探索快速且精准的Fastjson漏洞检测工具FastjsonScan 项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan 在今天这个高度数字化的时代,数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱。然而,随之而来的是频繁出现的安全隐患。为此,我们向您推荐一款强大且持续更新的漏洞探测工...
fastjsonScan
09-13
使用这个插件可以省去编写脚本或者搭配其他被动扫描器的麻烦。安装这个插件非常简单,只需要下载FastjsonScan.jar文件,并在Burp的Extender->Extensions栏中点击Add,选择下载好的jar文件即可。这个插件是基于Java的...
burp插件fastjsonscan
07-26
使用fastjsonscan插件可以帮助安全测试人员在应用程序中快速发现和验证fastjson漏洞。这对于识别潜在的安全风险并帮助开发人员修复这些漏洞非常重要。 然而,使用该插件需要谨慎和明智。仅在授权的范围内使用该插件...
Fastjson-Scanner:burp扩展以查找在哪里使用fastjson
03-20
闲来无事,在家写了个fastjson初始组件检测,用于探测定位是否使用fastjson使用的poc如下: fastjson_poc = '{{"@type":"java.net.URL","val":"http://%s"}:"x"}' % val 优点 不仅能够探测POST中的json数据,还...
BurpFastJsonScan:一款基于BurpSuite的被动式FastJson检测插件
03-19
dnsLog出网检测(由于使用的是恶意payload所以能出来基本上该站就死了) 编译方法 这是一个java maven项目 :: /BurpFastJsonScan/pom.xml 安装完对应的包以后 编译文件地址:BurpFastJsonScan / out / artif
Fastjson扫描测试工具.rar
09-08
在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析
扫描jar包工具
04-27
java -jar jarscan.jar 查看help信息,可以快速扫描目标文件夹下jar包所包含的class文件相关信息
探索FastjsonScan:一款高效且安全的JSON解析工具
gitblog_00012的博客
04-20 483
探索FastjsonScan:一款高效且安全的JSON解析工具 去发现同类优质开源项目:https://gitcode.com/ 是一个针对Java平台的开源项目,旨在提供一种快速、稳定且安全的方式来扫描和解析JSON数据。该项目源自阿里巴巴的Fastjson库,并对其进行扩展,增加了对潜在安全问题的检测功能。 技术背景与分析 Fastjson是Java领域广泛使用的JSON库,因其性能出色而备受...
一个简单的Fastjson反序列化检测burp插件-FastjsonScan
siu~
10-16 983
一个简单的Fastjson反序列化检测burp插件
探索FastjsonScan:智能安全扫描工具,为你的JSON数据保驾护航
gitblog_00082的博客
04-12 461
探索FastjsonScan:智能安全扫描工具,为你的JSON数据保驾护航 FastjsonScan一个简单的Fastjson反序列化检测burp插件项目地址:https://gitcode.com/gh_mirrors/fas/FastjsonScan 是一个开源项目,旨在帮助开发者检测并预防使用Fastjson处理JSON时可能遭遇的安全问题。该项目基于Java语言编写,利用静态代码分析技术...
探索FastjsonScan:一款高效的JSON安全扫描工具
gitblog_00009的博客
04-21 444
探索FastjsonScan:一款高效的JSON安全扫描工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个轻量级、快速且强大的Java库,用于检测JSON对象中的潜在安全问题。该项目旨在帮助开发者在使用Fastjson库时,能够预先识别并预防可能导致代码注入等安全漏洞的问题。它通过深度解析JSON结构,进行详尽的安全检查,为开发过程添加了一层安全防护。 技术分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蔡怀权

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值