FastjsonScan 项目常见问题解决方案

尹尚润One

于 2024-09-13 21:38:01 发布

阅读量183

点赞数 1

本文链接：https://blog.csdn.net/gitblog_07602/article/details/142222133

版权

FastjsonScan 项目常见问题解决方案

FastjsonScan 一个简单的Fastjson反序列化检测burp插件项目地址: https://gitcode.com/gh_mirrors/fas/FastjsonScan

项目基础介绍

FastjsonScan 是一个用于检测 Fastjson 反序列化漏洞的 Burp Suite 插件。该项目的主要编程语言是 Java。FastjsonScan 通过分析 HTTP 请求中的 JSON 数据，检测是否存在 Fastjson 反序列化漏洞，从而帮助安全研究人员和渗透测试人员快速识别潜在的安全风险。

新手使用注意事项及解决方案

1. 安装问题

问题描述：新手在安装 FastjsonScan 插件时，可能会遇到无法成功加载插件的问题。

解决步骤：

下载插件文件：从项目的 GitHub 仓库中下载 FastjsonScan.jar 文件。
安装插件：
- 打开 Burp Suite。
- 导航到 Extender -> Extensions 选项卡。
- 点击 Add 按钮，选择下载好的 FastjsonScan.jar 文件。
- 确保执行环境是 Java，通常 Burp Suite 自带 Java 环境，但建议使用 JDK 1.8 版本。
检查安装结果：如果成功安装，Burp Suite 会输出相关信息；如果未能成功安装，可以尝试更换 JDK 版本。

2. 使用方法不明确

问题描述：新手可能不清楚如何使用 FastjsonScan 插件进行漏洞检测。

解决步骤：

发送请求：
- 在 Burp Suite 中，选中一个 HTTP 请求。
- 右键点击请求，选择 Send to FastjsonScan。
等待扫描结果：
- 插件会自动开始扫描，扫描结果会在 FastjsonScan 的界面中显示。
- 如果目标存在漏洞，会在窗口下面的 Request 窗口展示使用的 payload；如果没有漏洞，则会展示原始的请求与响应。
注意事项：由于反序列化检测利用了 DNSLog，检测过程可能会稍微慢一些，建议在等待结果期间继续查看其他请求。

3. 支持的请求类型

问题描述：新手可能会尝试对不支持的请求类型进行扫描，导致无法获得预期的结果。

解决步骤：

检查请求类型：
- FastjsonScan 只会检查 Content-Type 为 xml、json、url-encoded 的 POST 请求。
- 如果请求类型不符合上述条件，插件会返回 not supported。
修改请求类型：
- 如果需要扫描的请求类型不符合条件，可以手动修改请求的 Content-Type 为支持的类型。
确认扫描结果：
- 确保请求类型正确后，再次进行扫描，查看扫描结果。