FastjsonScan 项目常见问题解决方案
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 项目地址: https://gitcode.com/gh_mirrors/fas/FastjsonScan
项目基础介绍
FastjsonScan 是一个用于检测 Fastjson 反序列化漏洞的 Burp Suite 插件。该项目的主要编程语言是 Java。FastjsonScan 通过分析 HTTP 请求中的 JSON 数据,检测是否存在 Fastjson 反序列化漏洞,从而帮助安全研究人员和渗透测试人员快速识别潜在的安全风险。
新手使用注意事项及解决方案
1. 安装问题
问题描述:新手在安装 FastjsonScan 插件时,可能会遇到无法成功加载插件的问题。
解决步骤:
- 下载插件文件:从项目的 GitHub 仓库中下载
FastjsonScan.jar
文件。 - 安装插件:
- 打开 Burp Suite。
- 导航到
Extender
->Extensions
选项卡。 - 点击
Add
按钮,选择下载好的FastjsonScan.jar
文件。 - 确保执行环境是 Java,通常 Burp Suite 自带 Java 环境,但建议使用 JDK 1.8 版本。
- 检查安装结果:如果成功安装,Burp Suite 会输出相关信息;如果未能成功安装,可以尝试更换 JDK 版本。
2. 使用方法不明确
问题描述:新手可能不清楚如何使用 FastjsonScan 插件进行漏洞检测。
解决步骤:
- 发送请求:
- 在 Burp Suite 中,选中一个 HTTP 请求。
- 右键点击请求,选择
Send to FastjsonScan
。
- 等待扫描结果:
- 插件会自动开始扫描,扫描结果会在 FastjsonScan 的界面中显示。
- 如果目标存在漏洞,会在窗口下面的
Request
窗口展示使用的 payload;如果没有漏洞,则会展示原始的请求与响应。
- 注意事项:由于反序列化检测利用了 DNSLog,检测过程可能会稍微慢一些,建议在等待结果期间继续查看其他请求。
3. 支持的请求类型
问题描述:新手可能会尝试对不支持的请求类型进行扫描,导致无法获得预期的结果。
解决步骤:
- 检查请求类型:
- FastjsonScan 只会检查
Content-Type
为xml
、json
、url-encoded
的 POST 请求。 - 如果请求类型不符合上述条件,插件会返回
not supported
。
- FastjsonScan 只会检查
- 修改请求类型:
- 如果需要扫描的请求类型不符合条件,可以手动修改请求的
Content-Type
为支持的类型。
- 如果需要扫描的请求类型不符合条件,可以手动修改请求的
- 确认扫描结果:
- 确保请求类型正确后,再次进行扫描,查看扫描结果。
通过以上步骤,新手可以更好地理解和使用 FastjsonScan 插件,顺利进行 Fastjson 反序列化漏洞的检测。
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 项目地址: https://gitcode.com/gh_mirrors/fas/FastjsonScan