网络安全之反序列化漏洞分析

已于 2023-06-10 15:37:58 修改
阅读量3.2k 收藏 2
点赞数 1
分类专栏: 学习路线 技能树 计算机 文章标签: 网络 网络安全 安全 web安全 职场和发展
于 2023-06-10 15:36:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzhy666/article/details/131142698
版权

简介

FastJson 是 alibaba 的一款开源 JSON 解析库,可用于将 Java 对象转换为其 JSON 表示形式,也可以用于将 JSON 字符串转换为等效的 Java 对象分别通过toJSONStringparseObject/parse来实现序列化和反序列化。

使用

对于序列化的方法toJSONString()有多个重载形式。

  1. SerializeFeature: 通过设置多个特性到FastjsonConfig中全局使用, 也可以在使用具体方法中指定特性

  2. SerializeFilter: 一个接口, 通过配置它的子接口或者实现类就可以以扩展编程的方式实现定制序列化

  3. SerializeConfig: 添加特点类型自定义的序列化配置

对于反序列化的方法parseObject()也同样有多个重载形式。

【一一帮助安全学习,所有资源获取处一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

④50 份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100 个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年 CTF 夺旗赛题解析

序列化操作

可以发现这两个的区别,如果使用了 toJSONString()的属性值SerializerFeature.WriteClassName,就会在序列化的时候多写入一个@type后面跟着的是反序列化的类名。

反序列化操作

package pers.fastjson;
import com.alibaba.fastjson.JSON;import com.alibaba.fastjson.JSONObject;
public class UnSerialTest {
      public static void main(String[] args) {
          String jsonStringWithType = "{\"@type\":\"pers.fastjson.Student\",\"name\":\"RoboTerh\"}";        String jsonStringWithoutType = "{\"name\":\"RoboTerh\"}";
        System.out.println("use JSON.parse with type......");        Object o1 = JSON.parse(jsonStringWithType);        System.out.println(o1);        System.out.println("------------------------------------");
        System.out.println("use JSON.parse without type....");        Object o2 = JSON.parse(jsonStringWithoutType);        System.out.println(o2);        System.out.println("-------------------------------------");
        System.out.println("use JSON.parseObject with type.......");        JSONObject o3 = JSON.parseObject(jsonStringWithType);        System.out.println(o3);        System.out.println("--------------------------------------");
        System.out.println("use JSON.parseObject without type.........");        JSONObject o4 = JSON.parseObject(jsonStringWithoutType);        System.out.println(o4);        System.out.println("----------------------------------------");
        System.out.println("use JSON.parseObject without type but hava .Class");        Student o5 = JSON.parseObject(jsonStringWithoutType, Studen
最低0.47元/天 解锁文章
初阶羊
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson反序列化漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Java Web反序列化网络安全漏洞分析.pdf
03-31
- 过时或不安全的组件:使用了已知存在反序列化漏洞的第三方库,如Apache Commons Collections。 - 缺乏输入验证:未对输入的序列化数据进行严格的校验,使得恶意数据能够成功反序列化。 3. **攻击场景** - 通过...
Java序列化反序列化原理及漏洞解决方案
08-18
主要介绍了Java序列化反序列化原理及漏洞解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Fastjson反序列化审计及验证
liguangyao213的博客
04-02 1601
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 Fastjson反序列化 代码审计 本项目引入的Fastjson版本为1.2.58,该版本存在反序列化漏洞。 已确定了Fastjson版本存在问题,进一步寻找触发Fastjson漏洞点。 我们关注两个函数JSON.parse()和JSON.parseObject(),并且执.
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复
最新发布
2401_84301389的博客
05-08 842
\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!
Fastjson 1.2.22-24 反序列化漏洞分析
qq_50854662的博客
10-13 437
Fastjson 1.2.22-24 反序列化漏洞分析
Fastjson反序列化漏洞原理及漏洞复现
weixin_46263525的博客
04-04 1353
Fastjson反序列化漏洞原理及反弹shell利用
FASTJSON反序列化漏洞合集分析小记(一)
lmh666888的博客
06-26 1761
FASTJSON反序列化漏洞合集分析小记
MySQL JDBC 客户端反序列化漏洞分析 - 安全客,安全资讯平台2
08-03
MySQL JDBC 客户端反序列化漏洞是一种安全性问题,它涉及到Java数据库连接器(JDBC)在处理特定数据库连接字符串时可能存在的风险。这个漏洞主要出现在MySQL Connector/J,即MySQL的Java驱动程序中,允许攻击者通过...
Weblogic全版本反序列化漏洞利用工具.jar
07-03
反序列化漏洞通常出现在Java、.NET等面向对象编程语言中,当应用程序在接收到网络传输的数据并将其反序列化为对象时,如果未进行充分的安全验证,攻击者可以通过构造恶意的序列化数据来执行任意代码,从而获取服务器...
shiro反序列化脚本.zip
07-28
然而,在某些版本中,Shiro存在反序列化漏洞,攻击者可以利用这个漏洞执行任意代码,对系统安全构成威胁。 描述中的"ysoserial-master.jar"是用于测试和利用Java反序列化漏洞的工具,由 ysoserial 项目提供。这个...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
反序列化是将已序列化的对象状态恢复为可操作对象的过程。在Java中,这个过程通常涉及到`java.io.ObjectInputStream`类,该类可以将字节流转换回Java对象。然而,如果反序列化的数据未经过适当的验证,恶意用户可能...
java反序列化工具
11-21
反序列化漏洞主要出现在代码不正确地处理来自不可信源的序列化数据时。攻击者可以构造恶意的序列化对象,当它被目标应用反序列化时,可能会触发任意代码执行、权限提升或其他安全漏洞。这些漏洞通常利用了类库中的...
基于“Apache Shiro反序列化漏洞网络安全问题防范.pdf
09-19
基于“Apache Shiro反序列化漏洞网络安全问题防范.pdf
Java安全之SnakeYaml反序列化分析.doc
07-08
【SnakeYaml反序列化分析】 SnakeYaml是一款流行的Java库,用于解析和生成YAML格式的数据。YAML(YAML Ain't Markup Language)是一种人类可读的数据序列化语言,常用于配置文件和数据交换。它比XML和properties...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-12 2万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
关于JSON.parseObject(str,List.class)在编译器中报黄色警告的问题
热门推荐
吴名氏的博客
09-28 13万+
项目中经常会遇到JSON解析,然后按照类型解析,代码总是会报黄色警告,自己来记录一下解决问题的过程。
JSON.parseObject反序列化需要注意的事项
shiyuKirito的博客
02-20 2552
现有JSON字符串 Login对应shiyukirito 但我之前为此准备的类的变量是name,这样setName就会找不到Login,不能将shiyukirito变量正确存为name。 private String name; private long id; private String dio; 于是我加了一个setLogin方法, public void setLogi...
反序列化 漏洞的原理和防御
03-31
反序列化漏洞是指攻击者利用应用程序中存在的反序列化函数对恶意序列化数据进行解析,从而导致应用程序出现安全漏洞的一种攻击方式。攻击者可以通过构造恶意序列化数据,来实现对应用程序的控制和攻击。 反序列化漏洞的原理是:攻击者构造恶意序列化数据,将其传入应用程序中的反序列化函数中进行解析。由于反序列化函数没有对数据进行足够的校验和过滤,导致恶意数据被解析后,可能会导致应用程序中的任意代码执行,或者是敏感数据泄漏等安全问题。 反序列化漏洞的防御主要有以下几点: 1. 序列化和反序列化数据时,需要对数据进行严格的校验和过滤,避免恶意数据的注入。 2. 在应用程序中,应该对反序列化函数进行安全配置和限制,仅允许执行必要的操作。 3. 应用程序中的反序列化函数不应该接受来自不可信任的源的数据,例如网络数据或用户输入数据等。 4. 应用程序中的反序列化函数应该对数据类型进行判断,避免解析不正确的数据类型,导致安全漏洞。 5. 应用程序中的反序列化函数应该对解析后的数据进行严格的验证,避免解析后的数据被篡改或者是恶意的。 6. 在进行序列化和反序列化操作时,应该使用安全可靠的序列化库和反序列化库,避免使用不安全的库导致安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值