fastjson的漏洞分析和解决方案

于 2024-05-12 21:38:50 发布
阅读量441 收藏 5
点赞数 5
文章标签: java json spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72406127/article/details/138762575
版权

fastjson 的 “autoType” 特性是指在反序列化过程中,允许将 JSON 字符串自动转换为指定的 Java 类型。它提供了一种方便的方式,使得开发人员可以直接将 JSON 数据转换为相应的 Java 对象,而无需手动指定目标类。

然而,这个特性也存在一定的安全风险。攻击者可以构造恶意的 JSON 数据,其中包含对不受信任的类的引用。当 “autoType” 特性被启用时,Fastjson 会尝试根据 JSON 字符串中的类信息实例化相应的对象,从而可能导致潜在的安全问题,例如远程代码执行攻击。

例如:

String jsonString = "{\"@type\":\"com.example.EvilClass\",\"data\":\"Malicious Data\"}";
Object obj = JSON.parseObject(jsonString);

在上述示例中,JSON 字符串中的 “@type” 属性指定了一个名为 “com.example.EvilClass” 的类。如果 Fastjson 的 “autoType” 特性被启用,它将尝试将该 JSON 字符串转换为 “com.example.EvilClass” 类的实例,而不考虑该类是否可信或预期。
为了防止这种安全问题,Fastjson 默认情况下禁用了 “autoType” 特性,以提供一定的安全性。但是,在某些特定场景下,开发人员可能会手动启用该特性,例如在处理受信任的 JSON 数据时需要转换为多态对象。

autoType漏洞的解决(CVE-2022-25845)

可以在配置文件中设置fastjson.parser.safeMode=true也可以修改虚拟机启动参数-Dfastjson.parser.safeMode=true

在组件引入了fastjson2和spring-boot-starter的依赖

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter</artifactId>
</dependency>
<dependency>
   <groupId>com.alibaba.fastjson2</groupId>
   <artifactId>fastjson2</artifactId>
   <version>2.0.36</version>
</dependency>

开启 fastjson 的安全模式,关闭 autoType 特性

package com.zhl.index12306.framework.starter.bases.safa;
public class FastJsonSafeMode implements InitializingBean {
    @Override
    public void afterPropertiesSet() throws Exception {
        System.setProperty("fastjson2.parser.safeMode", "true");
    }
}

package com.zhl.index12306.framework.starter.bases.config;
public class ApplicationBaseAutoConfiguration {
    @Bean
    @ConditionalOnMissingBean
    @ConditionalOnProperty(value = "framework.fastjson.safa-mode", havingValue = "true")
    public FastJsonSafeMode congoFastJsonSafeMode() {
        return new FastJsonSafeMode();
    }
}

也可以选择其他的序列化工具,例如jackson,gson
jackson序列化的示例

@Data
public class User {
    private Integer id;
    private String name;
}    

	/**
	* 测试 User对象 -> json/byte[]..
	*/
    @Test
    public void objectToJSONTest() throws JsonProcessingException {
        User user = new User();
        user.setId(1);
        user.setName("zzz");
        ObjectMapper mapper = new ObjectMapper();
        String strJson = mapper.writeValueAsString(user);
        byte[] bytes = mapper.writeValueAsBytes(user);

        System.out.println(new String(bytes));
        System.out.println(strJson);
    }
	/**
	* 测试 json -> User对象
	*/
    @Test
    public void JSONToObjectTest() throws JsonProcessingException {
        String str = "{\"id\":1,\"name\":\"zzz\"}";
        ObjectMapper mapper = new ObjectMapper();
        User user = mapper.readValue(str, User.class);
        System.out.println(user);
    }

    /**
     * 测试 反序列化的类中不存在的字段
     */
    @Test
    public void notExistFieldTest() throws JsonProcessingException {
        String str = "{\"id\":1,\"name\":\"zzz\",\"sex\":1}";
        ObjectMapper mapper = new ObjectMapper().configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
        User user = mapper.readValue(str, User.class);

        System.out.println(user);
    }

参考
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25845
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-18349
关于fastJson漏洞的总结说明

诗这样的
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
高版本的fastjson-1.2.71解决安全漏洞
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
fastjson版本低于1.2.47出现的远程代码漏洞解决方案
Fastjson源码分析—1.2.24漏洞分析
qq_45854465的博客
12-23 2632
2021SC@SDUSC 前面的文章中已经分析Fastjson反序列化的相关代码,涉及的方面很多、覆盖面也很全。可以看到,Fastjson是一款非常好的Json字符串反序列化工具,高效、简洁、无依赖、可定制。然而,高效的Json解析也给它带来了风险,最大的问题莫过于几年前爆出的1.2.24版本的远程代码执行漏洞,该漏洞现在已经修复,本篇文章将分析这个漏洞产生的原因,复现方式以及解决方案,还尝试从工具开发者的角度探讨如何避免此类漏洞的发生。 目录漏洞复现产生原因技术背景代码分析解决方案如何避免此类问题发生
Fastjson反序列化漏洞原理与复现
FisrtBqy的博客
05-15 3132
Ffasjson反序列化漏洞原理与复现
从0开始fastjson漏洞分析
你的北音
05-18 297
从0开始fastjson系统漏洞剖析   fastjson这一系统漏洞出来好长时间,一直没空剖析,耽误了,今日拾起来   由于我们要剖析fastjson有关系统漏洞,因此 大家先去学习fastjson的基本应用,如果我们连fastjson都不清楚,更谈何系统漏洞剖析呢?   最先先构建有关系统漏洞自然环境:   应用maven,十分便捷大家转换有关系统漏洞版本号:   pom.xml: <?xml version="1.0" encoding="UTF-8"?> <proje
FastJsonAutoType反序列化漏洞
最新发布
qq_53058639的博客
02-20 1160
Fastjson
Fastjson漏洞原理分析
LTianHang的博客
06-04 4702
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
autoType is not support. org. springframework.security.core.authority FastJson2022年autotype漏洞修复指南
Software As Business
05-27 6100
FastJson2022年autotype漏洞修复指南漏洞说明问题1.产生问题的代码不兜圈子,直接说明升级及解决方案结语 漏洞说明 为了不浪费时间,直接官方说明 官方链接: link 问题 首先说明官方提供给的几种方式中大多是采取禁用autoType这个功能。 但是这个对于业务中使用了autotype功能且已经上线的应用非常不友好,直接使用最新版本fastjson或者开启safemode都会直接导致原有应用报错。下面介绍我司应用升级采取的修改,各位可参考 1.产生问题的代码 在使用fastjson 代理re
高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞
慌途L
06-12 2811
前言 Fastjson <=1.2.68版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。 漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。 本次漏洞发现,其autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。 漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕
代码审计-Fastjson各版本漏洞分析(上)
dzqxwzoe的博客
08-03 1292
最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了。
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson漏洞环境
01-12
包含fastjson反序列化漏洞fastjson反序列化漏洞fastjson反序列化漏洞
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
fastjson漏洞复现
m0_63017769的博客
11-08 333
Fastjson是一个阿里巴巴开源的Java库(项目地址为:https://github.com/alibaba/fastjson),它用于将Java对象转换为JSON表示。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以处理任意Java对象,并且它提供了高性能的JSON解析和序列化功能。
fastJson≤1.2.80漏洞修复
Champion-Dai
06-15 3513
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类,在特定条件下这可能导致远程代码执行。高危、任意命令执行。Fastjson ≤1.2.80以下三种修复方案根据业务选择任一合适方案即可:方案一、建议升级到最新版本1.2.83。参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83方案二、safeMode加固:Fastjson在1.2.6
Fastjson漏洞复现
Bird&Bird
09-28 2755
目录概述漏洞环境漏洞复现编写恶意类编译并开启RMI服务 概述 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 漏洞环境 靶场选择使用vulhub搭建,网址:https://github.com/vulhub/vulhub 下载vulhub,找到fastjson/1.2.24-rce目录,使用docker-compose up -d启动环境。 docker ps -a 查看
fastjson框架漏洞复现
BING
10-23 2279
fastjson是阿里巴巴开源的json解析库,通常被用于java object和json字符之间进行转换,提供两个方法json.tojsonstring和json.parseobject/json.parse来分别实现序列化与反序列化。
fastjson漏洞原理和复现
08-19
Fastjson的反序列化漏洞是一种远程代码执行漏洞,攻击者可以通过构造恶意的JSON字符串,使得Fastjson在解析过程中触发漏洞,最终导致攻击者可以执行任意代码。 漏洞的原理如下: 1. Fastjson在反序列化时会自动调用默认构造函数创建对象,并使用setter方法或直接访问字段赋值。 2. 攻击者构造的恶意JSON字符串中包含一个特制的类名和数据,当Fastjson解析该JSON字符串时,会尝试通过反射实例化该类。 3. 在实例化过程中,攻击者可以通过在JSON字符串中设置特别设计的数据来触发恶意代码执行,例如利用Java反射机制调用任意方法。 要复现Fastjson漏洞,需要进行以下步骤: 1. 构造一个恶意的JSON字符串,其中包含特制的类名和数据。 2. 利用该JSON字符串触发Fastjson的反序列化过程。 3. 在反序列化过程中,触发恶意代码执行。 请注意,复现漏洞需要谨慎操作,并且仅在合法授权的环境中进行。漏洞利用是违法行为,请勿用于非法用途。 如果您对Fastjson漏洞有更深入的研究兴趣,建议参考Fastjson官方的安全公告和相关漏洞报告,以及进行更详细的研究和实验。 希望以上回答能对您有所帮助!如果您有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值