FastjsonScan 使用教程

于 2024-08-08 07:42:42 发布
阅读量766 收藏 16
点赞数 21
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00819/article/details/141010679
版权

FastjsonScan 使用教程

FastjsonScan一个简单的Fastjson反序列化检测burp插件项目地址:https://gitcode.com/gh_mirrors/fas/FastjsonScan

项目介绍

FastjsonScan 是一个用于检测和利用 Fastjson JSON 解析器漏洞的工具。Fastjson 是一个在 Java 生态中广泛使用的 JSON 处理库,但由于其高效性能,也伴随着一些安全漏洞。FastjsonScan 旨在帮助开发者快速识别和修复这些漏洞,确保应用的安全性。

项目快速启动

以下是 FastjsonScan 的快速启动指南,包括安装和基本使用方法。

安装

  1. 克隆项目仓库到本地:

    git clone https://github.com/Maskhe/FastjsonScan.git
cd FastjsonScan

  2. 构建项目(假设你已经安装了 Maven):

    mvn clean install

  3. 运行 FastjsonScan:

    java -jar target/FastjsonScan-1.0-SNAPSHOT.jar

基本使用

FastjsonScan 提供了命令行界面,以下是一些基本命令:

  • 扫描单个 URL:

    java -jar target/FastjsonScan-1.0-SNAPSHOT.jar -u http://example.com

  • 批量扫描多个 URL:

    java -jar target/FastjsonScan-1.0-SNAPSHOT.jar -f urls.txt

应用案例和最佳实践

FastjsonScan 在实际应用中可以帮助开发者快速发现和修复 Fastjson 相关的安全漏洞。以下是一些最佳实践:

  1. 定期扫描:建议定期使用 FastjsonScan 对应用进行扫描,特别是在 Fastjson 发布新版本后。
  2. 集成到 CI/CD 流程:将 FastjsonScan 集成到持续集成和持续部署流程中,确保每次代码提交都能自动进行安全检查。
  3. 结合其他安全工具:FastjsonScan 可以与其他安全扫描工具结合使用,形成更全面的安全防护体系。

典型生态项目

FastjsonScan 作为 Fastjson 漏洞检测工具,可以与以下生态项目结合使用:

  1. Burp Suite:通过编写 Burp Suite 插件,将 FastjsonScan 的功能集成到 Burp Suite 中,实现更全面的 Web 应用安全扫描。
  2. OWASP ZAP:结合 OWASP ZAP 进行更广泛的 Web 应用安全测试。
  3. Jenkins:通过 Jenkins 插件,将 FastjsonScan 集成到自动化构建和部署流程中,实现自动化的安全扫描。

通过以上介绍和指南,希望你能快速上手 FastjsonScan,并在实际项目中有效利用它来提升应用的安全性。

FastjsonScan一个简单的Fastjson反序列化检测burp插件项目地址:https://gitcode.com/gh_mirrors/fas/FastjsonScan

何蒙莉Livia
关注
  • 21
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
BurpFastJsonScan:一款基于BurpSuite的被动式FastJson检测插件
03-19
BurpFastJsonScan 一款基于BurpSuite的被动式FastJson检测插件 自言自语 据听说它的诞生是因为作者在实际项目由于不够细 没有每个json都尝试进行一次fastjson的突破检测 导致差点错过了三个目标预算,好在同事够细!!! :) 作者事后后悔不已 于是乎〜 它就诞生了 简介 BurpFastJsonScan一个希望能节省一些渗透时间好进行划水的扫描插件 该插件插件BurpSuite传进来的每个不同的域名+端口的json流量进行一次fastjson dnsLog出网检测 目前的功能如下 dnsLog出网检测(由于使用的是恶意payload所以能出来基本上该站就死了) 编译方法 这是一个java maven项目 :: /BurpFastJsonScan/pom.xml 安装完对应的包以后 编译文件地址:BurpFastJsonScan / out / artif
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
BurpSuite插件 -- FastjsonScan(反序列化检测)
weixin_41489908的博客
12-24 7086
你可以因为现任不好二分手,但千万不要认为别人更好,永远有人更好,眼下便是更好。。。 ---- 网易云热评 一、插件介绍: 一个简单的Fastjson反序列化检测burp插件,我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 二、...
推荐项目:BurpFastJsonScan - 一款高效的JSON安全扫描插件
gitblog_00097的博客
04-09 539
推荐项目:BurpFastJsonScan - 一款高效的JSON安全扫描插件 项目地址:https://gitcode.com/pmiaowu/BurpFastJsonScan 项目简介 BurpFastJsonScan 是一个专为网络安全研究人员和渗透测试人员设计的开源工具,它是一个Burp Suite扩展,用于检测JSON响应中的潜在安全漏洞。通过集成在Burp Suite中,此插件能够帮助...
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan
最新发布
gitblog_00045的博客
05-16 800
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan FastjsonScanFastjson扫描器,可识别版本、依赖库、autoType状态等。A tool to distinguish fastjson ,version and dependency项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan 在今天这个高度数字化的...
fastjsonScan
09-13
使用这个插件可以省去编写脚本或者搭配其他被动扫描器的麻烦。安装这个插件非常简单,只需要下载FastjsonScan.jar文件,并在Burp的Extender->Extensions栏中点击Add,选择下载好的jar文件即可。这个插件是基于Java的...
burp插件fastjsonscan
07-26
使用fastjsonscan插件可以帮助安全测试人员在应用程序中快速发现和验证fastjson漏洞。这对于识别潜在的安全风险并帮助开发人员修复这些漏洞非常重要。 然而,使用该插件需要谨慎和明智。仅在授权的范围内使用该插件...
Fastjson-Scanner:burp扩展以查找在哪里使用fastjson
03-20
闲来无事,在家写了个fastjson初始组件检测,用于探测定位是否使用fastjson。 使用的poc如下: fastjson_poc = '{{"@type":"java.net.URL","val":"http://%s"}:"x"}' % val 优点 不仅能够探测POST中的json数据,还...
Fastjson扫描测试工具.rar
09-08
在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析
探索FastjsonScan:智能安全扫描工具,为你的JSON数据保驾护航
gitblog_00082的博客
04-12 446
探索FastjsonScan:智能安全扫描工具,为你的JSON数据保驾护航 FastjsonScan一个简单的Fastjson反序列化检测burp插件项目地址:https://gitcode.com/gh_mirrors/fas/FastjsonScan 是一个开源项目,旨在帮助开发者检测并预防使用Fastjson处理JSON时可能遭遇的安全问题。该项目基于Java语言编写,利用静态代码分析技术...
探索FastjsonScan:一款高效且安全的JSON解析工具
gitblog_00012的博客
04-20 468
探索FastjsonScan:一款高效且安全的JSON解析工具 项目地址:https://gitcode.com/zilong3033/fastjsonScan FastjsonScan 是一个针对Java平台的开源项目,旨在提供一种快速、稳定且安全的方式来扫描和解析JSON数据。该项目源自阿里巴巴的Fastjson库,并对其进行扩展,增加了对潜在安全问题的检测功能。 技术背景与分析 Fastjs...
通过fastjson解析json数据工具
北京小辉
12-15 458
目录 一、原始数据内容 二、通过fastjson解析json数据 一、原始数据内容eventLogJson.txt { "u": { "cookieid": "HsOorABPB", "account": "05289", "email": "Fh8h@G4hbi.com", "phoneNbr": "20096655112", "birthday": "2002-01-1...
fortify扫描安全漏洞,fastjson安全漏洞
思念十年后
09-11 847
Fastjson安全漏洞,升级版本后,引发的问题。 使用fastjson将json字符串转换成对象 jsonStr:json格式的字符串 (Map<String.Object>)JSONObject.parseObject(jsonStr,Map.class); 因fastjson安全漏洞需要升级 升级后 使用上面转换就出现问题。每次只能将json格式的字符串最...
FastJson反序列化漏洞(实验文章)
soldi_er的博客
11-25 674
文章目录Json数据格式FastJson类库Json的三个类库下载Jar压缩包Autotype功能参考 Json数据格式 JSON是一种轻量级的数据交换格式,全称:JavaScript 对象表示法(JavaScript Object Notation) 类比XML,你可以把JSON看作是一种存储数据的格式类型,一种数据规范。描述JSON格式数据的语法只是采用了JS对象字面量的表示方法,它独立于语言存在,只是在不同的编程语言中对这种数据类型的实现不同。 FastJson类库 Json的三个类库 Java处理J
fastjson(反序列化)漏洞复现
weixin_58954236的博客
09-11 1338
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

何蒙莉Livia

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值