它又来了!Fastjson 被发现其用于安全控制的开关autotype限制可被绕过...你方了没?...

最新推荐文章于 2023-09-03 23:03:34 发布
最新推荐文章于 2023-09-03 23:03:34 发布
阅读量3.6k 收藏
点赞数
原文链接:https://www.yuque.com/docs/share/c326e1ed-2f6e-4f7e-bdf8-0b8f53ad8620?#​
版权

点击上方蓝色“程序猿DD”,选择“设为星标”

回复“资源”获取独家整理的学习资料!

 

来源 | https://www.anquanke.com/post/id/207029

0x01 漏洞背景

2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastjson远程代码执行漏洞的风险通告,漏洞等级:高危。

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

截止到漏洞通告发布,官方还未发布1.2.69版本,360CERT建议广大用户及时关注官方更新通告,做好资产自查,同时根据临时修复建议进行安全加固,以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式        等级

威胁等级   【高危】

影响面      【广泛】

0x03 影响版本 

Fastjson:<= 1.2.68

0x04 修复建议

临时修补建议:

升级到Fastjson 1.2.68版本,通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响)

0x05 时间线

2020-05-28 360CERT监测到业内安全厂商发布漏洞通告

2020-05-28 360CERT发布预警

0x06 参考链接

  1. 【安全通告】Fastjson <=1.2.68全版本远程代码执行漏洞通告:https://cloud.tencent.com/announce/detail/1112

往期推荐

什么是集群?什么又是负载均衡?你说得清楚吗?

2020校招薪酬大比拼,你被倒挂了没?

写那么多年Java,还不知道啥是Java agent 的必须看一下!

有了这个 IDEA的兄弟,你还用 Navicat 吗?全家桶不香吗?

为什么阿里巴巴禁止使用存储过程?

Spring Cloud 和 Dubbo 哪个会被淘汰?

欢迎加入我的知识星球,聊聊技术、说说职场、扯扯社会。

头发很多的中年程序员DD在这里期待你的到来!

最近更新:你的房子70年之后怎么办,开始明朗!

加入方式:长按下方二维码噢

我的星球是否适合你?

点击阅读原文看看我们都在聊啥

程序猿DD_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
fastjson开启safeMode,关闭autoType,去除安全漏洞
blood_Z的博客
05-26 5511
## fastjson开启safeMode,关闭autoType,去除安全漏洞 在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。 有三种方式配置SafeMode,如下: 在代码中配置 ParserConfig.getGlobalInstance().setSafeMode(true); 注意,如果使用new ParserConfig的方式,需要注意单例处
fastjson开启安全模式
最新发布
wenlai123456的博客
09-03 1484
方式4:通过fastjson.properties文件配置。方式2:针对某个解析配置。方式3:JVM启动参数。
FastJson库的不同版本源码中对比学习绕过方法
阿道夫的博客
02-20 861
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
遇到的安全问题
qq_44690238的博客
08-24 2493
安全问题
fastjson safemode_fastjson_safemode
weixin_42556197的博客
01-14 7056
打开SafeMode功能在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。有三种方式配置SafeMode,如下:1. 在代码中配置ParserConfig.getGlobalInstance().setSafeMode(true);注意,如果使用ne...
fastjson-1.2.83 针对近期阿里fastjson包漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson-1.2.70.jar.zip
03-21
FastJsonjar包
fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_
09-30
alibaba fastjson-1.2.66.jar
fastjson-1.2.3.jar
11-14
Fastjson是一个Java语言编写的高性能功能完善的JSON库。fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。Fastjson完全...
fastjson-bypass-autotype-1.2.68:fastjson使用Throwable和AutoCloseable绕过自动类型1.2.68
03-08
fastjson-bypass-autotype-1.2.68 fastjson因为exceptClass期望类的特性导致可以通过AutoCloseable和Throwable绕过自动类型。 复现 运行org.chabug.fastjson.DemoApplication ,访问 自动关闭绕过 POST /parseObject HTTP/1.1 Host: test.local:8082 Connection: close Content-Type: application/json Content-Length: 131 { "@type":"java.lang.AutoCloseable", "@type": "org.chabug.fastjson.exploit.ExecCloseable", "domain": "y4er.com | calc" } 可投掷绕过
Fastjson开启安全模式
qq_38229543的博客
12-16 1708
原文链接:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
初探fastJsonAutoType
溪c的博客
05-24 1万+
文章目录1. AutoType 何方神圣?1.1 type字段1.2 setAutoTypeSupport2.反序列化攻击3.AutoType 安全模式4.参考 1. AutoType 何方神圣? 参考 https://juejin.cn/post/6846687594130964488 fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。 但是,fastjson在序列化以及反序列化的过程中并有使用Java自带的序列化机制,而
fastjson的漏洞解决—2020年5月28日
06-08 1万+
一、前言 fastjson真是不让人省心,2020年5月28日又报了漏洞。 fastjson的作用: 将javabean序列化为json格式的字符串。 将json格式的字符串,反序列化为javabean。 二、fastjson使用过程 添加maven依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <v
【漏洞通告】fastjson 1.2.62远程代码执行漏洞通告
爱国小白帽
02-21 4065
【漏洞通告】fastjson<=1.2.62远程代码执行漏洞通告 原创 绿盟安全服务部 绿盟科技安全情报 今天 通告编号:NS-2020-0011 2020-02-21 TAG: fastjson、Jackson-databind、远程代码执行 危害等级: 高,攻击者利用此漏洞,可造成远程代码执行。 应急等级: 蓝色 版本: 1.0 1 漏洞概述 2月19日,NV...
安全漏洞:Fastjson反序列化漏洞
热门推荐
孤芳不自赏
05-27 1万+
引言 昨天,我收到了集团安全部门的告警消息:Fastjson≤1.2.80版本存在反序列化漏洞,好家伙,着手开搞,这又是一个不眠夜的开始,哦,为什么说“又”呢?还记得去年12月份log4j2报过重大安全漏洞…… 风险描述 fastjson已使用黑白名单用于防御序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全 影响版本 Fastjson≤1.2.80 解决方案1:升级到最新版本1.2.83..
它又来了!FastJson又被发现漏洞,autotype安全控制开关限制可以被绕过...你方?...
程序员小乐
05-31 5807
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Please don't judge me from my pa...
高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞
慌途L
06-12 2576
前言 Fastjson <=1.2.68版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。 漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。 本次漏洞发现,其autotype开关限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。 漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕
com.alibaba.fastjson.JSONException: autoType is not support. org.springframework.security.core.authority.SimpleGrantedAuthority 怎么解决
05-31
这个错误是由于 fastjson 序列化时使用了 autoType 类型检查导致的。为了避免安全问题,fastjson 默认禁用autoType。如果你确信数据来源可信,可以开启 autoType 支持。 解决方法: 1. 在 Fastjson 的 ParserConfig 中启用 autoType 支持,例子代码如下: ``` import com.alibaba.fastjson.parser.ParserConfig; ParserConfig.getGlobalInstance().setAutoTypeSupport(true); ``` 2. 如果不想启用 autoType 支持,可以使用 JSON.parseObject() 的重载方法,指定要反序列化的对象类型,例如: ``` String jsonStr = "{\"authority\":\"ROLE_ADMIN\"}"; SimpleGrantedAuthority authority = JSON.parseObject(jsonStr, SimpleGrantedAuthority.class); ``` 这样就可以成功反序列化了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值