2022-10 springboot修复fastjson autoType漏洞

最新推荐文章于 2024-08-15 09:57:23 发布
最新推荐文章于 2024-08-15 09:57:23 发布
阅读量1.5k 收藏 4
点赞数 2
文章标签: spring boot java redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37689919/article/details/127615497
版权

项目里用到了fastjson,fastjson报出了autoType高危漏洞,刚好在Redis序列化时用到了autoType特性。

方法:

  1. fastjson改为无autoType特性版本;
  2. 引入fastjson2,不启用autoType做Redis序列化。

pom.xml: 

<fastjson.version>1.2.67_noneautotype2</fastjson.version>
<fastjson2.version>2.0.15</fastjson2.version>

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>${fastjson.version}</version>
</dependency>
           
<dependency>
    <groupId>com.alibaba.fastjson2</groupId>
    <artifactId>fastjson2</artifactId>
    <version>${fastjson2.version}</version>
</dependency>

FastJson2JsonRedisSerializer.java 

package com.xxx;

import com.alibaba.fastjson2.JSON;
import com.alibaba.fastjson2.JSONReader;
import com.alibaba.fastjson2.JSONWriter;
import com.alibaba.fastjson2.filter.Filter;
import com.fasterxml.jackson.databind.JavaType;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.type.TypeFactory;
import java.nio.charset.Charset;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.SerializationException;
import org.springframework.util.Assert;

/**
 * Redis使用FastJson序列化
 */
public class FastJson2JsonRedisSerializer<T> implements RedisSerializer<T>
{
    @SuppressWarnings("unused")
    private ObjectMapper objectMapper = new ObjectMapper();

    public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");

    private Class<T> clazz;

    static final Filter autoTypeFilter = JSONReader.autoTypeFilter(
        // 按需加上需要支持自动类型的类名前缀,范围越小越安全
        "org.springframework.security.core.authority.SimpleGrantedAuthority"
    );
    static {
        //开启安全模式
        System.setProperty("fastjson2.parser.safeMode", "true");
    }

    public FastJson2JsonRedisSerializer(Class<T> clazz)
    {
        super();
        this.clazz = clazz;
    }

    @Override
    public byte[] serialize(T t) throws SerializationException
    {
        if (t == null)
        {
            return new byte[0];
        }
        return JSON.toJSONString(t, JSONWriter.Feature.WriteClassName).getBytes(DEFAULT_CHARSET);
    }

    @Override
    public T deserialize(byte[] bytes) throws SerializationException
    {
        if (bytes == null || bytes.length <= 0)
        {
            return null;
        }
        String str = new String(bytes, DEFAULT_CHARSET);

        return JSON.parseObject(str, clazz, autoTypeFilter, JSONReader.Feature.SupportAutoType);
    }

    public void setObjectMapper(ObjectMapper objectMapper)
    {
        Assert.notNull(objectMapper, "'objectMapper' must not be null");
        this.objectMapper = objectMapper;
    }

    protected JavaType getJavaType(Class<?> clazz)
    {
        return TypeFactory.defaultInstance().constructType(clazz);
    }
}

最后说一下这样改的目的:

  1. 保留原有fastjson的api不修改业务代码;
  2. 不启用autoType,利用fastjson2的JSON序列化,并开启安全模式,避免autoType漏洞

有效果的留个言吧 

Amor·Zhang
关注
FastJSON2 学习笔记
灵台方寸山斜月三星洞
09-17 4533
FASTJSON2是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库。官方如是说。
springboot版本升级,及解决springsecurity漏洞问题
喜羊羊love红太狼
05-06 1938
项目中要解决 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) 漏洞问题,并且需要将项目的版本整体升级到boot版本2.1.7,升级改造过程非常的痛苦,一方面对整个框架的代码不是很熟悉,另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去,此类问题经常是idea,什么缓存,或者是pom依赖下载不全导致,然后就陷入了这个误区,一直以为是idea的问题,然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。
Springboot 修改Tomcat版本 修复Tomcat CVE-2024-21733 漏洞
最新发布
拉丁解牛技术专栏
08-15 633
修改Springboot Tomcat内置版本,修复Tomcat 漏洞,网络安全问题
初探fastJsonAutoType
热门推荐
溪c的博客
05-24 1万+
文章目录1. AutoType 何方神圣?1.1 type字段1.2 setAutoTypeSupport2.反序列化攻击3.AutoType 安全模式4.参考 1. AutoType 何方神圣? 参考 https://juejin.cn/post/6846687594130964488 fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。 但是,fastjson在序列化以及反序列化的过程中并没有使用Java自带的序列化机制,而
SpringBoot 2.7.10、3.0.5 发布,修复 DoS漏洞
weixin_44719880的博客
03-24 600
修复 DoS漏洞
springboot2.1.0漏洞修复及踩坑
一只没有脚的鸟
01-07 4272
项目新上线,是使用springboot框架,云服务器检测出来有5个漏洞 查阅了相关资料,大致的原因了解了,受影响的版本如下: Spring Framework反射型文件下载漏洞 Jackson-databind反序列化漏洞(CVE-2020-35490/CVE-2020-35491) Jackson 远程代码执行漏洞 (CVE-2020-35490等) 从检测报告中看出升级spring-boot-starter-parent版本即可修复。 已修复版本spring-boot-starter-parent
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
weixin_45260839的博客
08-12 776
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
OSCS开源安全社区
05-24 2456
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下: 漏洞评级:严重 影响组件:com.alibaba:fastjson 影响版本:<= 1.2.80 更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-11320
springboot使用FastJson替换Redis的默认序列方式实现对象的序列化,及autoType is not support的解决办法
m0_37592952的博客
09-12 4273
自定义Redis的序列化方式需要实现 RedisSerializer&lt;T&gt; 这个接口 public interface RedisSerializer&lt;T&gt; { @Nullable byte[] serialize(@Nullable T t) throws SerializationException; @Nullable T deserialize(@N...
Fastjson 反序列化任意代码执行漏洞修复
bigwood99的博客
07-11 1257
腾讯云主机安全扫描报告,有几台主机存在“Fastjson 反序列化任意代码执行漏洞”。 安全报告漏洞信息如下: CVE编号 pcmgr-345005 披露时间 2022-05-23 漏洞描述:
深入理解Spring Boot中的Fastjson
fudaihb的博客
07-22 1098
Fastjson是阿里巴巴开源的一个高性能的JSON处理库,因其速度快、功能强大且易用性高而被广泛使用。Spring Boot作为目前流行的微服务框架,也提供了与Fastjson的无缝集成。本文将深入探讨如何在Spring Boot中使用Fastjson,涵盖安装配置、基本用法、进阶技巧以及一些实际应用场景。
spring boot 修复 Spring Framework URL解析不当漏洞(CVE-2024-22243)
记录点滴
02-28 9832
一开始我们尝试直接替换spring-web的版本,但是只替换这一个包的话项目启动会报错,通过实践和反复尝试,我们对spring相关的jar包都进行了覆盖,这样可以保持springboot的版本号不变。如果现有项目的大版本是3.x,直接升级即可,但是有些老项目还停留在2.x的版本,官方并没有针对2.x发布新版本,从2.x直接升级到3.x,代价又比较大。其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响,更新到受官方支持的安全版本。查看 springboot的版本,只有最新的。
Fastjson AutoType
Fly_鹏程万里
05-07 7795
Fastjson 1.2.24特性 Fastjson 1.2.24有两个特性: 默认开启AutoType选项 在处理以@type形式传入的类的时候,会默认调用该类的共有set\get\is函数 于是乎,攻击者可以配合一些存在问题的类,来实现RCE,这也是Fastjson 系列的第一个RCE安全通告问题: https://github.com/alibaba/fastjson/wiki/se...
SpringBoot修复Spring AMQP反序列化漏洞(CVE-2023-34050)
记录点滴
10-27 5008
问题描述: 2023年10Spring官方披露 CVE-2023-34050 Spring AMQP反序列化漏洞漏洞。由于 SimpleMessageConverter 或 SerializerMessageConverter 默认未配置白名单,导致可以反序列化任意类。新版本中在未配置白名单的情况下则不允许反序列化任意类。 解决的建议: 1.spring-amqp版本低于2.4.17的用户应升级到2.4.17 2.spring-amqp是3.0.0至3.0.9版本的用户应升级至3.0.10
FastJsonFastJson AutoType
九师兄
06-30 265
之前有网友对比过:当然,
fastjson2 打开 AutoType
Viogs的专栏
09-01 1739
FASTJSON支持AutoType功能,这个功能在序列化的JSON字符串中带上类型信息,在反序列化时,不需要传入类型,实现自动类型识别。必须显式打开才能使用。和fastjson 1.x不一样,fastjson 1.x为了兼容有一个白名单,在fastjson 2中,没有任何白名单,也不包括任何Exception类的白名单,必须显式打开才能使用。这可以保证缺省配置下是安全的。支持配置safeMode,在safeMode打开后,显式传入AutoType参数也不起作用。
2019-09-23 安全漏洞Springboot版本升级
jingbotwins的博客
11-11 397
springboot从1.5.15.RELEASE升级为2.1.6.RELEASE 1.5.15版本的配置 package com.hikvision.platform.config; import java.util.ArrayList; import java.util.List; import org.slf4j.Logger; import org.slf4j.LoggerFacto...
spring bootfastJson的使用(二)
zangjunlang4288的博客
05-16 112
spring bootfastJson的使用(二) 昨天说了springboot的简单入门程序。今天进一步深入。今天说一下,fastJson的使用。做过springmvc的都知道fastjson。其实boot自带json可是本人用惯了fastjson,用默认的不习惯。 一、再说一下:是一个Java语言编写的高性能功能完善的J...
springboot使用fastjson
03-16
Spring Boot可以使用Fastjson作为JSON序列化和反序列化的工具。Fastjson是一个高性能的JSON处理库,可以将Java对象转换为JSON格式的字符串,也可以将JSON格式的字符串转换为Java对象。 要在Spring Boot中使用...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值