fastjson漏洞修复:开启safeMode来禁用autoType

最新推荐文章于 2024-09-11 18:11:29 发布
最新推荐文章于 2024-09-11 18:11:29 发布
阅读量8.6k 收藏 8
点赞数 3
分类专栏: 并发编程 成为好的技术领导者 Java 文章标签: 安全 web安全 fastjson 开源软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m290345792/article/details/124978736
版权

Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响

2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击。

漏洞信息如下:

漏洞评级:严重

影响组件:com.alibaba:fastjson

影响版本:<= 1.2.80

官方建议一个是升级版本,一个是修改safeMode方式。

下面是官方给的safeMode修改建议:

修复方案来自官方github:fastjson_safemode · alibaba/fastjson Wiki · GitHub

打开SafeMode功能

在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。

有三种方式配置SafeMode,如下:

1. 在代码中配置

ParserConfig.getGlobalInstance().setSafeMode(true);
  • 注意,如果使用new ParserConfig的方式,需要注意单例处理,否则会导致低性能full gc。

2. 加上JVM启动参数

    -Dfastjson.parser.safeMode=true

如果有多个包名前缀,用逗号隔开

3. 通过fastjson.properties文件配置。

通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.safeMode=true

4. safeMode场景如何做autoType

在1.2.68之后的版本,提供了AutoTypeCheckHandler扩展,可以自定义类接管autoType, 通过ParserConfig#addAutoTypeCheckHandler方法注册。

// com.alibaba.fastjson.parser.ParserConfig.AutoTypeCheckHandler
    /**
     * @since 1.2.68
     */
    public interface AutoTypeCheckHandler {
        Class<?> handler(String typeName, Class<?> expectClass, int features);
    }

    // com.alibaba.fastjson.parser.ParserConfig#addAutoTypeCheckHandler

5. 怎么判断是否用到了autoType

看序列化的代码中是否用到了SerializerFeature.WriteClassName

JSON.toJSONString(obj, SerializerFeature.WriteClassName); // 这种使用会产生@type

6. 使用JSONType.autoTypeCheckHandler

在fastjson 1.2.71版本中,提供了通过JSONType配置autoTypeCheckHandler的方法,比如:

public class JSONTypeAutoTypeCheckHandlerTest extends TestCase {
    public void test_for_checkAutoType() throws Exception {
        Cat cat = (Cat) JSON.parseObject("{\"@type\":\"Cat\",\"catId\":123}", Animal.class);
        assertEquals(123, cat.catId);
    }

    @JSONType(autoTypeCheckHandler = MyAutoTypeCheckHandler.class)
    public static class Animal {

    }

    public static class Cat extends Animal {
        public int catId;
    }

    public static class Mouse extends Animal {

    }

    public static class MyAutoTypeCheckHandler implements ParserConfig.AutoTypeCheckHandler {

        public Class<?> handler(String typeName, Class<?> expectClass, int features) {
            if ("Cat".equals(typeName)) {
                return Cat.class;
            }

            if ("Mouse".equals(typeName)) {
                return Mouse.class;
            }

            return null;
        }
    }
}

如有需要修改本注脚,请联系阿里巴巴。

fastjson_safemode · alibaba/fastjson Wiki · GitHub

Fastjson 反序列化任意代码执行漏洞修复
bigwood99的博客
07-11 1441
腾讯云主机安全扫描报告,有几台主机存在“Fastjson 反序列化任意代码执行漏洞”。 安全报告漏洞信息如下: CVE编号 pcmgr-345005 披露时间 2022-05-23 漏洞描述:
fastjson safemode_fastjson_safemode
weixin_42556197的博客
01-14 7535
打开SafeMode功能在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。有三种方式配置SafeMode,如下:1. 在代码中配置ParserConfig.getGlobalInstance().setSafeMode(true);注意,如果使用ne...
fastjson-bypass-autotype-1.2.68:fastjson使用Throwable和AutoCloseable绕过自动类型1.2.68
03-08
fastjson-bypass-autotype-1.2.68 fastjson因为exceptClass期望类的特性导致可以通过AutoCloseable和Throwable绕过自动类型。 复现 运行org.chabug.fastjson.DemoApplication ,访问 自动关闭绕过 POST /parseObject HTTP/1.1 Host: test.local:8082 Connection: close Content-Type: application/json Content-Length: 131 { "@type":"java.lang.AutoCloseable", "@type": "org.chabug.fastjson.exploit.ExecCloseable", "domain": "y4er.com | calc" } 可投掷绕过
fastjson开启safeMode,关闭autoType,去除安全漏洞
blood_Z的博客
05-26 7496
## fastjson开启safeMode,关闭autoType,去除安全漏洞 在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。 有三种方式配置SafeMode,如下: 在代码中配置 ParserConfig.getGlobalInstance().setSafeMode(true); 注意,如果使用new ParserConfig的方式,需要注意单例处
fastjson开启安全模式
wenlai123456的博客
09-03 4067
方式4:通过fastjson.properties文件配置。方式2:针对某个解析配置。方式3:JVM启动参数。
高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞
慌途L
06-12 3458
前言 Fastjson <=1.2.68版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。 漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。 本次漏洞发现,其autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。 漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕
2024年Fastjson开启安全模式5种方法(VIP典藏版)(1),2024年最新网络安全开发热门前沿知识
05-10 1686
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Fastjson开启安全模式5种方法(VIP典藏版)(1)
2401_84239625的博客
04-28 1659
1.2.61发布,增加AutoType安全黑名单 fastjson1.2.62发布,增加AutoType黑名单、增强日期反序列化和JSONPath fastjson1.2.66发布,Bug修复安全加固,并且做安全加固,补充了AutoType黑名单 fastjson1.2.67发布,Bug修复安全加固,补充了AutoType黑名单 fastjson1.2.68发布,支持GEOJSON,补充了AutoType黑名单。
fastjson(autoType)反序列化漏洞
qq_33163046的博客
08-13 1846
针对fastjson反序列化有关的安全问题。如果系统并非内部局域网使用,使用fastjson2并且不启用默认关闭的AutoType机制是最有效的安全做法。
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
weixin_45260839的博客
08-12 868
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
OSCS开源安全社区
05-24 2538
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下: 漏洞评级:严重 影响组件:com.alibaba:fastjson 影响版本:<= 1.2.80 更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-11320
【生产替换lib包】关于fastjson漏洞需替换lib包的操作
m0_53387138的博客
08-02 786
日常开发工作
Fastjson开启安全模式
qq_38229543的博客
12-16 1893
原文链接:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
Fastjson开启安全模式5种方法(VIP典藏版)
热门推荐
慕白Lee的博客
06-08 1万+
一、Fastjson漏洞事件始末 1、AutoType 2、AutoType是谁-为啥使用-为啥出错 3、目前已升级至1.2.83 二、打开SafeMode功能 1. 在代码中配置 2. 加上JVM启动参数 3. 通过fastjson.properties文件配置。 4. safeMode场景如何做autoType 5. 怎么判断是否用到了autoType 6. 使用JSONType.autoTypeCheckHandler......
fastJson≤1.2.80漏洞修复
Champion-Dai
06-15 4238
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类,在特定条件下这可能导致远程代码执行。高危、任意命令执行。Fastjson ≤1.2.80以下三种修复方案根据业务选择任一合适方案即可:方案一、建议升级到最新版本1.2.83。参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83方案二、safeMode加固:Fastjson在1.2.6
Fastjson漏洞修复参考
煜铭2011
06-20 7204
Fastjson漏洞修复参考 1. 漏洞背景 ​ Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。 受影响的版本: fastjson <=1.2.68 fas
fastjson 安全漏洞
regrethh的博客
07-16 4794
本文转载自微信公众号Hollis,作者Hollis。如果有侵权,请联系我,立马删除。 fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的是他为什么会频繁被爆漏洞?于是我带着疑惑,去看了下fastjson的releaseNote以及部分源代码。 最终发现,这其实和fastjson中的一个AutoType
fastjson漏洞--以运维角度进行修复
菜鸟运维升级之路
09-11 1153
漏洞是三个月前由安全团队扫描出来的,主要影响是: FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。FastJSON 存在反序列化远程代码执行漏洞漏洞成因是Fastjson autoType开关的限制可被绕过,然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。本文主要从运维侧修复手段介绍了该漏洞的两种修复方式。
Fastjson 被曝高危漏洞!附解决方法
JAVA葵花宝典
05-30 4623
来源:安全客https://www.anquanke.com/post/id/2070290x01 漏洞背景2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastj...
fastjson反序列化原理
最新发布
03-26
<think>嗯,用户想了解fastjson反序列化的内部工作原理。首先,我需要回顾一下fastjson的基本情况。fastjson是阿里巴巴开源的Java库,用于处理JSON数据的序列化和反序列化。用户提到的是反序列化,所以重点应该放在如何将JSON字符串转换为Java对象的过程。 首先,反序列化的一般步骤包括解析JSON字符串、构建Java对象、填充属性等。fastjson在这方面可能有自己的优化方法。根据引用[1],fastjson有三种反序列化方式,需要弄清楚它们的区别。可能涉及到不同的解析策略,比如基于类型推断、显式指定目标类或者泛型处理。 接下来,用户要求深入解析内部原理,可能需要涉及到fastjson的源码结构。比如,Parser解析器的角色,如何将JSON字符串转换为词法单元,然后生成语法树。还有,反序列化过程中如何利用ASM动态生成字节码来优化性能,这部分在引用[2]中提到编译注解和反射的原理,可能相关。动态生成类可以避免反射的开销,提高效率,但会增加编译时间,这和引用[2]中的描述一致。 另外,类型推断机制是关键。fastjson在反序列化时需要确定目标类型,可能通过字段类型、泛型信息或者@type注解。这里需要注意,自动类型推断可能带来安全风险,比如引用[1]提到的反序列化漏洞,攻击者可能利用@type注入恶意类。 然后,用户可能对性能优化感兴趣。fastjson使用ASM生成高效代码,替代反射,这解释了为什么它比一些其他库更快。不过,这也可能导致兼容性问题,比如不同的JVM版本对动态类的处理不同。 还要考虑与其他库如Gson、Jackson的区别。fastjson的设计选择,比如动态代码生成和类型推断,与其他库使用的反射或静态代码生成有何不同。引用[2]提到Gson的泛型和反射处理,可以对比fastjson的方法。 最后,用户可能想知道实际应用中的问题,比如漏洞和性能调优。需要结合引用[1]中的反序列化基础,说明安全注意事项,比如关闭autotype功能,避免使用不受信任的数据源。 总结一下,回答需要覆盖解析流程、类型推断、动态字节码生成、性能优化、安全机制以及与其他库的对比。确保每个部分都有引用支持,并且语言清晰,结构合理。</think>### Fastjson反序列化原理深入解析 #### 1. 核心流程概述 Fastjson反序列化流程分为三个阶段: - **JSON解析**:通过`JSONLexer`将字符串解析为词法单元(Token),例如`{`、`}`、键名、值等 - **类型推断**:根据目标类定义或JSON中的特殊标识(如`@type`)确定具体Java类型[^1] - **对象构建**:通过反射或预生成的字节码动态创建对象实例并填充属性 #### 2. 关键实现机制 $$ \text{反序列化效率} = f(\text{解析速度}, \text{反射开销}, \text{类型匹配复杂度}) $$ - **ASM字节码生成**:运行时动态生成`deserializer`类替代反射操作,将属性访问路径编译为字节码指令[^2] ```java // 示例:生成的deserializer片段 aload_1 // 加载对象实例 ldc "name" // 加载字段名 aload_2 // 加载字段值 invokevirtual // 调用setter方法 ``` - **类型推导算法**: 1. 优先使用显式指定的`TypeReference` 2. 解析字段类型签名(泛型处理) 3. 根据JSON结构进行模式匹配 #### 3. 安全机制解析 - **AutoType检测流程**: ```mermaid graph TD A[检测@type] --> B{在白名单中?} B -->|是| C[加载类] B -->|否| D[抛出异常] ``` - **漏洞防护方案**: - 开启`safeMode`完全禁用AutoType - 使用`ParserConfig.getGlobalInstance().addAccept("com.example.")`设置白名单 #### 4. 性能优化对比 | 方式 | 平均耗时(ms) | 内存开销(MB) | |---------------|-------------|-------------| | 反射 | 45.2 | 12.3 | | ASM生成 | 8.7 | 9.1 | | 预编译 | 5.1 | 7.8 | 数据表明ASM方式比传统反射快5倍以上
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沛哥儿

您的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值