项目场景:
代码漏洞检查
问题描述
发现Fastjson存在0day漏洞
原因分析:
Fastjson小于1.2.76版本
解决方案:
排查Fastjson?v1.2.76及以下版本是否关闭@type?
处置建议:通过SafeMode禁用AutoType
配置文件放src下
- 替换服务器下小于1.2.76的版本
- 将fastjson.properties配置文件放到服务器配置文件路径下
- 添加web.xml文件读取文件路径
- 重启服务器
- 用以下命令查看是否配置成功:成功输出为true
boolean safeMode = ParserConfig.getGlobalInstance().isSafeMode();
System.out.println(safeMode);