什么是FastJson中AutoType反序列化漏洞?

最新推荐文章于 2024-10-04 20:45:17 发布
置顶 最新推荐文章于 2024-10-04 20:45:17 发布
阅读量1.1w 收藏 54
点赞数 30
分类专栏: Java 文章标签: java Fastjson 漏洞 反序列化 AutoType
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hosaos/article/details/106982555
版权
本文详细介绍了FastJson中的AutoType反序列化漏洞,包括漏洞产生的原因、反序列化方法的区别、AutoType安全校验机制、黑名单与SafeMode。通过模拟攻击流程,解释了如何利用漏洞执行恶意代码,强调了及时更新FastJson版本和理解漏洞原理的重要性。
摘要由CSDN通过智能技术生成

文章目录

频繁出现的反序列化漏洞

最近公司的小伙伴们收到了一波安全工单,因为FastJson存在高危漏洞,要求将FastJson版本号升级到1.2.69及以上

漏洞描述如下

在Fastjson<=1.2.68的版本中,通过新的Gadgets链绕过autoType开关,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,实现了反序列化漏洞利用的远程代码执行效果,同时,此次修复补丁也补充了autoType黑名单,Fastjson历史版本中,autoType安全黑名单已被多次绕过,官方也一直在持续补充增强该黑名单,并在1.2.68版本中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType,不过默认并未开启该配置。由于autoType开关漏洞利用门槛较低,可绕过autoType限制,风险影响较大,建议尽快更新漏洞修复版本或采用临时缓解措施加固系统

从漏洞描述中可以大致猜测到,漏洞的产生和绕过AutoType安全校验有分不开的关系

parse()及parseObject()

FastJson中将JSON串反序列化成Java对象的两个常用方法是parse()及parseObject(),那么这两者有什么区别呢?

定义User测试类如下

package com.company.project.bean;

import java.io.Serializable;


public class User  implements Serializable {
   
    private static final long serialVersionUID = -8088742348807697485L;

    private String userName;

    public User() {
   
        System.out.println("call construct method");
    }

    public String getUserName() {
   
        System.out.println("call get method getUserName");
        return userName;
    }

    public void setUserName(String userName) {
   
        System.out.println("call set  method setUserName");
        this.userName = userName;
    }
}

fastJson中parse方法或者parseObject都可以将JSON串转化成Java对象,定义如下序列化后的Json串,做测试

public static void main(String[] args) {
   
     String userJson = "{\"@type\":\"com.company.project.bean.User\",\"userName\":\"testUserName\"}";

     //parseObject测试
     Object object1 = JSON.parseObject(userJson);
     System.out.println("=============");
     //parse
     Object object2 = JSON.parse(userJson);
 }

控制台中输出结果如下

最低0.47元/天 解锁文章
hosaos
关注
专栏目录
autotype安全 fastjson_FastJson checkAutoType安全机制研究
weixin_39531037的博客
12-22 709
FastJson1.2.25以及之后的版本fastjson为了防止autoType这一机制带来的安全隐患,增加了一层名为checkAutoType的检测机制。在之后的版本,随着checkAutoType安全机制被不断绕过,fastjson也进行了一系列例如黑名单防逆向分析、扩展黑名单列表等加固。但是checkAutoType的原理未曾有过大的变化,因此本文将以fastjson 1.2.25...
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1296
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景。在网络传输的过程,RMI的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
FastJsonAutoType反序列化漏洞
qq_53058639的博客
02-20 1487
Fastjson
网络安全常见漏洞篇——反序列化漏洞
ewii12567的博客
09-29 1712
要了解反序列化漏洞,首先我们得知道什么是序列化和反序列化,简单来说序列化:就是将对象转化为字符串进行存储;反序列化:就是将字符串转化为对象;反序列化漏洞:就是在反序列化过程,如果恶意者可以对将要转换的字符串进行操控,从而达到任意代码执行的操作,就是反序列化漏洞反序列化漏洞的主要原理是应用程序在反序列化过程没有对传入的数据进行足够的验证和过滤,导致攻击者可以利用构造的恶意序列化数据来执行任意代码或远程代码执行攻击。一般情况下,应用程序在接受到序列化数据后会使用反序列化操作将数据还原成对象。
初探fastJsonAutoType
热门推荐
溪c的博客
05-24 1万+
文章目录1. AutoType 何方神圣?1.1 type字段1.2 setAutoTypeSupport2.反序列化攻击3.AutoType 安全模式4.参考 1. AutoType 何方神圣? 参考 https://juejin.cn/post/6846687594130964488 fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。 但是,fastjson在序列化以及反序列化的过程并没有使用Java自带的序列化机制,而
FastJsonFastJson AutoType
九师兄
06-30 340
之前有网友对比过:当然,
多次触发FastJson漏洞AutoType机制,你了解吗?
weixin_45701550的博客
12-24 1673
解决问题的方法也很简单,既然@type指定的类型不存在,那么可以在系统把需要的类型定义出来,不过@type指定的类型,是三方接口系统定义的,如果把该类型引入到调用方系统,那么对于调用方的侵入性很大,而且定义这个类型,仅仅为了解决这个问题,有很大解释成本在里面。从内容上看,比较特殊的地方在于多了一个特殊的字段“@type”,经过测试,反序列化报错,的确是因为这个特殊的字段造成的(把@type字段去掉,反序列化可以正常进行)。) fastjson。导致的,那么在序列化时,把类型信息给添加上可以了。
fastjson2 打开 AutoType
Viogs的专栏
09-01 1844
FASTJSON支持AutoType功能,这个功能在序列化的JSON字符串带上类型信息,在反序列化时,不需要传入类型,实现自动类型识别。必须显式打开才能使用。和fastjson 1.x不一样,fastjson 1.x为了兼容有一个白名单,在fastjson 2,没有任何白名单,也不包括任何Exception类的白名单,必须显式打开才能使用。这可以保证缺省配置下是安全的。支持配置safeMode,在safeMode打开后,显式传入AutoType参数也不起作用。
fastjson autoType is not support错误
qq_24084605的博客
07-11 4222
在springboot集成redis 时,在从redis读取数据时报autoType is not support错误 只需在类增加即可解决 static { ParserConfig.getGlobalInstance().addAccept("com.zhaoning.blog"); }package com.xxx.blog.config; import com....
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6441
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
阿里巴巴开源的FastJson 1反序列化漏洞复现攻击保姆级教程
最新发布
CoffeMilk的博客
10-04 1566
FastJson为了知道提交过来的数据是什么类型,特别增加了自动类型(autotype )逻辑(即:每次都需要读取【@type】属性造成该漏洞Fastjson反序列化的Gadget需要无参默认构造方法或者注解指定构造方法并添加相应参数。使用Feature.SupportNonPublicField才能打开非公有属性的反序列化处理,@type可以指定反序列化任意类调用其set,get,is方法,并且由于反序列化的特性,我们可以通过目标类的set方法自由的设置类的属性值,由此攻击者可构造出一些恶意利用链)
fastjson_1.2.24反序列化漏洞复现
acdcccc的博客
09-06 193
fastjson_1.2.24反序列化漏洞复现
fastjson1.2.8原理
weixin_34221775的博客
03-11 453
2019独角兽企业重金招聘Python工程师标准>>> ...
autotype安全 fastjson_FastJson最新反序列化漏洞分析
weixin_39621870的博客
12-22 244
黑白网(heibai.org)成立于2014年,多年来以其专业的视角,优质的服务为广大安全技术爱好者提供了目前国内最全的网络安全技术学习资料,普及国网络安全知识,宣扬正确的黑客极客文化,全方面提高国内安全技术水平。漏洞危害:严重FastJson最新爆出的绕过方法可以通杀1.2.48版本以下所有,有传言在autotype开启的情况下可以打到1.2.57。## 解决方案:FastJson升级到最新1...
Redis使用Fastjson2序列化方案(解决AutoType问题)
qeqw787的博客
07-20 3895
因为fastjson升级到2后,AutoType默认是关闭的,需要添加类名到拦截器才可以正常转换类型,但是我们使用Fastjson2作为Redis的序列化工具时非常不方便!
fastjson SerializerFeature详解
慎独
12-03 1071
依赖 &lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/groupId&gt; &lt;artifactId&gt;fastjson&lt;/artifactId&gt; &lt;version&gt;1.2.7&lt;/version&gt;
alibaba fastjson的使用总结和心得
weixin_30758821的博客
04-23 377
最初接触alibaba fastjson是由于其性能上的优势,对比原来采用codehause.jackson的解析,在hadoop平台上的手动转换对象有着将近1/3的性能提升,但随着开发应用越来越多,渐渐地也发现了在其他方面的强大之处,例如直接转化泛型(jackson对泛型的支持相对来说就比较差)。 Fastjson会自动处理对象的泛型,将其解析成原来定义好的对象,建...
FastJson解析失败,autotype is not support
haloisacer的博客
11-21 9922
最近在整合redis的时候,发现数据从redis取出后无法强转为原先存入的对象,因为我的HttpMessage解析用的是FastJson,所以为了保持一致,我将RedisSerializer&lt;T&gt;接口实现了,然后主动注入RedisTemplate,将其的序列化方式指定为FastJson。但是在执行反序列化的最后一步JSON.parseObject(str, clazz);始终提示(a...
它又来了!Fastjson 被发现其用于安全控制的开关autotype限制可被绕过...你方了没?...
程序猿DD
05-30 3720
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!来源 |https://www.anquanke.com/post/id/2070290x01 漏洞背...
fastjson反序列化漏洞修复方法
12-27
Fastjson反序列化漏洞的修复方法主要包括以下几个方面: 1. 更新Fastjson版本:及时更新Fastjson的版本可以修复已知的漏洞,并且新版本通常会增加更多的安全性措施。 2. 配置白名单:通过配置白名单,限制Fastjson反序列化时可以处理的类和属性,只允许特定的类和属性进行反序列化操作,从而减少潜在的安全风险。 3. 使用AutoType特性:Fastjson提供了AutoType特性,可以在反序列化时自动检测类的类型信息,从而减少恶意代码的执行。可以通过设置AutoType的白名单,只允许特定的类进行反序列化操作。 4. 自定义反序列化过程:对于一些敏感的类和属性,可以自定义反序列化过程,使用安全的方式进行处理,避免恶意代码的执行。 5. 安全审计和代码检查:定期进行安全审计和代码检查,及时发现和修复潜在的安全漏洞,确保系统的安全性。 需要注意的是,Fastjson反序列化漏洞的修复方法可能因具体的漏洞类型和系统环境而有所不同,建议根据具体情况采取相应的修复措施。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值