Fastjson存在0day漏洞

已于 2022-03-28 17:55:07 修改
阅读量939 收藏
点赞数
文章标签: 后端
于 2022-03-28 17:54:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyl_goahead/article/details/123797773
版权

项目场景:

代码漏洞检查

问题描述

发现Fastjson存在0day漏洞

原因分析:

Fastjson小于1.2.76版本

解决方案:

排查Fastjson?v1.2.76及以下版本是否关闭@type?
处置建议:通过SafeMode禁用AutoType
配置文件放src下

  1. 替换服务器下小于1.2.76的版本
  2. 将fastjson.properties配置文件放到服务器配置文件路径下
  3. 添加web.xml文件读取文件路径
    在这里插入图片描述
  4. 重启服务器
  5. 用以下命令查看是否配置成功:成功输出为true
boolean safeMode = ParserConfig.getGlobalInstance().isSafeMode();
System.out.println(safeMode);
java比我小一岁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson使用
panda-star的博客
05-15 355
fastjson使用 文章目录fastjson使用一、简介二、准备2.1 github地址2.2 官网文档地址2.3 maven依赖三、使用3.1 常规使用3.2 SerializerFeature使用3.3 过滤器使用3.4 注解使用3.5 json文件读写使用四、结尾 一、简介 fastjson是阿里推出的json序列化反序列化工具,拥有良好的性能。这里对常用操作进行介绍。 二、准备 2.1 ...
fastjson safemode_fastjson_safemode
weixin_42556197的博客
01-14 7099
打开SafeMode功能在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。有三种方式配置SafeMode,如下:1. 在代码中配置ParserConfig.getGlobalInstance().setSafeMode(true);注意,如果使用ne...
一、beanShell中引入fastJson解析接口返回数据
weixin_30873847的博客
05-22 302
2019-05-22 11:10:55 //关于fastJson的使用:将jar包放到lib/ext目录下,直接import引用就可以,代码如下,编译可通过 //该段代码可放在接口的后置beanShell处理器中,也可以放在beanShell中 fastJson包下载地址: 链接:https://pan.baidu.com/s/1gxkQKzM9-UtYfWKeL0QM6A 提取...
Fastjson开启安全模式5种方法(VIP典藏版)
最新发布
2301_76379269的博客
04-11 842
一、Fastjson漏洞事件始末。
【Springboot学习 | 3】配置使用FastJson返回Json视图
cungudafa的博客
08-09 800
目录一、添加依赖二、添加FastJson配置三、测试总结 一、添加依赖 fastJson为阿里巴巴2017年开始发布并维护,目的是将fastJson加入到SpringBoot等项目内,配置json返回视图使用fastJson解析。 <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <d...
java fastjon,FastJson使用范例(Java、Scala版)
weixin_39552538的博客
03-19 131
0.目录FastJson简介FastJson三个核心类MavenJava API反序列化一个简单Json字符串反序列化一个简单JSON字符串成Java对象组反序列化一个复杂的JSON字符串反序列化序列化序列化和反序列化日期JsonObject的一些操作jsonArray的一些操作Scala APIdemo日志内容反序列化简单json字符串反序列化简单json字符串组String处理List处理反序...
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
autotype安全 fastjson_Fastjson高危漏洞风险提示
weixin_39574943的博客
12-22 438
漏洞公告:2020年6月1日,Fastjson官方发布autoType开关绕过安全漏洞和补全autoType黑名单的漏洞修复版本:1.2.69、1.2.70版本,相关链接参考:根据更新记录,漏洞主要为autoType开关绕过的反序列化漏洞利用,恶意攻击者可以通过该漏洞绕过autoType限制实现远程代码执行攻击,从而获取目标系统管理权限,建议尽快更新漏洞修复版本或采用临时缓解措施加固系统。影响范围...
Fastjson反序列化漏洞风险预警
qzt961003的博客
05-27 1200
近日,Fastjson Develop Team发布安全公告,修复了一个存在Fastjson1.2.80及之前版本中的反序列化漏洞。暂时存在漏洞的用户也不用担心,由于目前没有在野的漏洞利用POC,不必担心该漏洞被大面积利用。本文会根据官方给出的建议,详尽的告知修复方案。
fastjson反序列化漏洞
wxh8893893的博客
05-18 3084
Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本及以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过json携带POC在使用Fastjson的服务器上进行远程代码执行。 {"x":{"@type":"java.net.InetSocketAddress"{"address":,"val":"test123.ceye.io"}}}
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
高版本的fastjson-1.2.71解决安全漏洞
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
fastjson版本低于1.2.47出现的远程代码漏洞解决方案。
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
SpringBoot fastJson配置
gong0585的专栏
05-25 2030
SpringBoot2 让fastJson生效第一步:pom.xml        &lt;dependency&gt;            &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt;            &lt;artifactId&gt;spring-boot-starter-web&lt;/artifactId&gt; ...
【Java】properties文件存放位置与加载方式
热门推荐
arctan90的专栏
05-05 1万+
【前言】经常使用Properties文件存放配置,当运行代码Properties properties = new Properties; properties.load(filePath);的时候,是不是经常会遇到文件不存在的提示?在尝试了多种方法后,终于找到了如何正确地加载properties文件。
fastjson 首字母大写问题
xyw10000
12-18 664
新建fastjson.properties 放入resources目录fastjson.properties fastjson.compatibleWithFieldName=true fastjson.compatibleWithJavaBean=true
fastjson 反序列化漏洞
08-24
fastjson 反序列化漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 反序列化漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全的反序列化操作,导致攻击者能够执行任意代码或进行其他恶意操作。 这种漏洞通常是由于 fastjson 的反序列化过程中缺乏足够的安全检查和过滤机制,导致恶意用户能够构造特定的 JSON 字符串来触发漏洞。攻击者可以通过在 JSON 字符串中插入恶意的 Java 代码或利用已知的 Java 反序列化漏洞来执行任意代码。 为了防止 fastjson 反序列化漏洞的利用,建议遵循以下几点: 1. 尽量避免使用 fastjson 库,可以考虑使用其他更安全的 JSON 库。 2. 更新 fastjson 到最新版本,以获取最新的修复和安全增强功能。 3. 对用户输入的 JSON 字符串进行严格的验证和过滤,确保只有合法的、受信任的数据被反序列化。 4. 配置 fastjson 的 ParserConfig,限制反序列化操作只能处理预期的类型。 5. 避免在反序列化过程中执行不可信的代码,尽量将反序列化操作限制在有限的安全环境中。 总之,fastjson 反序列化漏洞是一个需要注意和防范的安全问题,开发者在使用 fastjson 库时应当保持警惕并采取相应的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值