什么是FastJson中AutoType反序列化漏洞?

最新推荐文章于 2024-08-15 15:00:41 发布
置顶 最新推荐文章于 2024-08-15 15:00:41 发布
阅读量1.1w 收藏 54
点赞数 30
分类专栏: Java 文章标签: java Fastjson 漏洞 反序列化 AutoType
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hosaos/article/details/106982555
版权
本文详细介绍了FastJson中的AutoType反序列化漏洞,包括漏洞产生的原因、反序列化方法的区别、AutoType安全校验机制、黑名单与SafeMode。通过模拟攻击流程,解释了如何利用漏洞执行恶意代码,强调了及时更新FastJson版本和理解漏洞原理的重要性。
摘要由CSDN通过智能技术生成

文章目录

频繁出现的反序列化漏洞

最近公司的小伙伴们收到了一波安全工单,因为FastJson存在高危漏洞,要求将FastJson版本号升级到1.2.69及以上

漏洞描述如下

在Fastjson<=1.2.68的版本中,通过新的Gadgets链绕过autoType开关,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,实现了反序列化漏洞利用的远程代码执行效果,同时,此次修复补丁也补充了autoType黑名单,Fastjson历史版本中,autoType安全黑名单已被多次绕过,官方也一直在持续补充增强该黑名单,并在1.2.68版本中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType,不过默认并未开启该配置。由于autoType开关漏洞利用门槛较低,可绕过autoType限制,风险影响较大,建议尽快更新漏洞修复版本或采用临时缓解措施加固系统

从漏洞描述中可以大致猜测到,漏洞的产生和绕过AutoType安全校验有分不开的关系

parse()及parseObject()

FastJson中将JSON串反序列化成Java对象的两个常用方法是parse()及parseObject(),那么这两者有什么区别呢?

定义User测试类如下

package com.company.project.bean;

import java.io.Serializable;


public class User  implements Serializable {
   
    private static final long serialVersionUID = -8088742348807697485L;

    private String userName;

    public User() {
   
        System.out.println("call construct method");
    }

    public String getUserName() {
   
        System.out.println("call get method getUserName");
        return userName;
    }

    public void setUserName(String userName) {
   
        System.out.println("call set  method setUserName");
        this.userName = userName;
    }
}

fastJson中parse方法或者parseObject都可以将JSON串转化成Java对象,定义如下序列化后的Json串,做测试

public static void main(String[] args) {
   
     String userJson = "{\"@type\":\"com.company.project.bean.User\",\"userName\":\"testUserName\"}";

     //parseObject测试
     Object object1 = JSON.parseObject(userJson);
     System.out.println("=============");
     //parse
     Object object2 = JSON.parse(userJson);
 }

控制台中输出结果如下

最低0.47元/天 解锁文章
hosaos
关注
专栏目录
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库注册,因此查找历史漏洞事件...
初探fastJsonAutoType
热门推荐
溪c的博客
05-24 1万+
文章目录1. AutoType 何方神圣?1.1 type字段1.2 setAutoTypeSupport2.反序列化攻击3.AutoType 安全模式4.参考 1. AutoType 何方神圣? 参考 https://juejin.cn/post/6846687594130964488 fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。 但是,fastjson在序列化以及反序列化的过程并没有使用Java自带的序列化机制,而
fastjson漏洞分析和解决方案
热爱编程,拥抱开源
05-12 564
fastjson漏洞分析和解决方案
fastjson反序列化漏洞
最新发布
qq_73792226的博客
08-15 645
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
fastjson(autoType)反序列化漏洞
qq_33163046的博客
08-13 1287
针对fastjson反序列化有关的安全问题。如果系统并非内部局域网使用,使用fastjson2并且不启用默认关闭的AutoType机制是最有效的安全做法。
FastJsonAutoType反序列化漏洞
isxiaole的博客
05-06 8757
FastJsonAutoType反序列漏洞梳理。
多次触发FastJson漏洞AutoType机制,你了解吗?
weixin_45701550的博客
12-24 1584
解决问题的方法也很简单,既然@type指定的类型不存在,那么可以在系统把需要的类型定义出来,不过@type指定的类型,是三方接口系统定义的,如果把该类型引入到调用方系统,那么对于调用方的侵入性很大,而且定义这个类型,仅仅为了解决这个问题,有很大解释成本在里面。从内容上看,比较特殊的地方在于多了一个特殊的字段“@type”,经过测试,反序列化报错,的确是因为这个特殊的字段造成的(把@type字段去掉,反序列化可以正常进行)。) fastjson。导致的,那么在序列化时,把类型信息给添加上可以了。
Redis使用Fastjson2序列化方案(解决AutoType问题)
qeqw787的博客
07-20 3675
因为fastjson升级到2后,AutoType默认是关闭的,需要添加类名到拦截器才可以正常转换类型,但是我们使用Fastjson2作为Redis的序列化工具时非常不方便!
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
fastjson到底做错了什么?为什么会被频繁爆出漏洞?(推荐)
10-15
漏洞的源头主要与fastjsonAutoType特性有关。AutoType功能允许在没有指定具体类的情况下进行反序列化,这为攻击者提供了可乘之机,能够利用这一机制来执行恶意代码。简而言之,AutoType会在反序列化过程尝试...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域的一个重要话题,尤其在AI信息安全研究和可信编译安全架构,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络读取的序列化数据转换回内存的对象的过程。在Java,这一...
技术专栏 _ 深入理解JNDI注入与Java反序列化漏洞利用.pdf
09-18
文章提到了JdbcRowSetImpl利用链和FastJson反序列化漏洞,这些是JNDI注入攻击利用的实例。JdbcRowSetImpl是Java的一个类,它允许通过JNDI进行远程调用。FastJson是一个广泛使用的Java库,用于对象到JSON的序列化与...
FastJsonFastJson AutoType
九师兄
06-30 272
之前有网友对比过:当然,
fastjson2 打开 AutoType
Viogs的专栏
09-01 1754
FASTJSON支持AutoType功能,这个功能在序列化的JSON字符串带上类型信息,在反序列化时,不需要传入类型,实现自动类型识别。必须显式打开才能使用。和fastjson 1.x不一样,fastjson 1.x为了兼容有一个白名单,在fastjson 2,没有任何白名单,也不包括任何Exception类的白名单,必须显式打开才能使用。这可以保证缺省配置下是安全的。支持配置safeMode,在safeMode打开后,显式传入AutoType参数也不起作用。
v1.2.70-FastJsonAutoType机制研究
weixin_42454225的博客
06-04 1095
FastJson漏洞与更新几乎都是围绕着checkAutoType进行,因为一款JSON化的工具,再本身性能难以再度突破的前提下,保证使用者的安全体验是衡量各个工具之间的重之重。但由由于FastJson在国内广泛的使用,而不管目前如何去更新,总有漏洞会为版本买单。所以很多人也在Git上发起issues抗议这些问题:讨论度也非常高,也有人不懂@type的存在意义。了解的人能知道,这也是无奈之举,像jackson也引入了类型的@Class关键字大伙也需要给开源者,开源项目更多耐心;
Fastjson AutoType
Fly_鹏程万里
05-07 7798
Fastjson 1.2.24特性 Fastjson 1.2.24有两个特性: 默认开启AutoType选项 在处理以@type形式传入的类的时候,会默认调用该类的共有set\get\is函数 于是乎,攻击者可以配合一些存在问题的类,来实现RCE,这也是Fastjson 系列的第一个RCE安全通告问题: https://github.com/alibaba/fastjson/wiki/se...
fastjson反序列化漏洞修复方法
12-27
Fastjson反序列化漏洞的修复方法主要包括以下几个方面: 1. 更新Fastjson版本:及时更新Fastjson的版本可以修复已知的漏洞,并且新版本通常会增加更多的安全性措施。 2. 配置白名单:通过配置白名单,限制Fastjson...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值