记一次 FastJson 的踩坑经历

最新推荐文章于 2023-06-27 23:31:44 发布
最新推荐文章于 2023-06-27 23:31:44 发布
阅读量853 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ningnan9801/article/details/103998088
版权

  Java大联盟

  帮助万千Java学习者持续成长

关注

项目和第三方对接,有接口一直调不通,直到我拿到合作方的入参后,问题来了,有了接下来的一系列故事。

拿到原生的第三方参数( JSON 格式的),为了节省时间,迫不及待地直接在本地单元测试一波。熟悉的操作,这里为了方便观察,我模拟一次请求从 Controller 进入的请求:

import com.alibaba.fastjson.JSON;import lombok.Data;


public class ProFastjson {
    @Data
    static class Teacher {
        private String teacherName;
    }


    private static TeacherController teacherController = new TeacherController();


    public static void main(String[] args) {
        String str = "{\"teacher_name\":\"zxerjones\"}";
        Teacher teacher = JSON.parseObject(str, Teacher.class);
        teacherController.search(teacher);
    }
}

看重点:我的 JSONString 参数名有下划线,Teacher 的是没有 teacher_name 这个属性的,反序列化之后的值应该是空的,可偏偏方法走通了。不甘心的我决定 debug 一波,如下图:

反序列化结果

反序列化成功了,是不是一脸懵逼。没错 FASTJson 就是不和你讲道理。行吧,那一定是是 FASTJson 内部的反序列化机制造成这样的结果,debug 进源码看看:

JSON.parseObject 方法内部

注意看上图 378 行,JSON 的反序列化就是在这个方法中实现的,继续跟进:

DefaultJSONParser.parseObject 方法内部

上图对一些规则进行校验之后,开始进入主题。正式调用反序列化工具 JavaBeanDeserializer.deserialze 对字符进行反序列化。这个方法主要做的事情就是对 JSON 字符串内部的键值对和我们需要的反序列化结果类进行绑定,赋值(这个方法代码比较多,只贴重点):下图是赋值的过程,这才是导致问题的关键:

JavaBeanDeserializer.deserialze 方法内部

就是 850 行代码,终于找到问题的所在了,马上就真相大白。现在可以确定就是 parseField 方法搞的鬼,继续点进去:

parseField 方法内部

上图方法内部做的事情就是生成 field 反序列化工具对 field 反序列化,然后赋值。这个 field 反序列化工具从何而来断点打到 1089 行,可以看到,这个方法返回了我们需要的工具,点进去:

JavaBeanDeserializer.smartMatch 方法内部

代码做的事情就是根据 JSON 字符串的键(teacher_name)做一次 hash 运算,然后与需要反序列化结果(Teacher.class)中的所有参数(这里只有teacherName)做 hash 运算,根据生成的 hash 值来对 field 进行配对。OK就是这样的,现在我们已经找到问题的根源,hash 之后的值是相同的。fastjosn 内部封装了计算 hash 的工具类,TypeUtils.fnv1a_64_lower,如下图:

TypeUtils.fnv1a_64_lower

代码中可以看到进行hash的两个规则:

1、‘-’和‘_’不参与hash运算。

2、忽略大小写。

根据最后得出的 hash 规则,那么可以在 json 字符串中随意的添加"_","-",并且大小写忽略都可以反序列化成功,证实下猜想:如下代码。

 public static void main(String[] args) {        String str = "{\"TEACHER___---NAME\":\"zxerjones\"}";
        Teacher teacher = JSON.parseObject(str, Teacher.class);
        System.out.println(teacher);
    }

运行结果:

ProFastjson.Teacher(teacherName=zxerjones)


Process finished with exit code 0

猜想成立,问题解决。血一样的教训:能用 postman 就不要用单元测试。~~(╯﹏╰)~~

推荐阅读

1、一次性把JVM讲清楚,别再被面试官问住了

2、Spring Boot源码解析

3、一文搞懂前后端分离

4、快速上手Spring Boot+Vue前后端分离

楠哥简介

资深 Java 工程师,微信号 nnsouthwind

《Java零基础实战》一书作者,今日头条认证大V

GitChat认证作者,B站认证UP主(楠哥教你学Java)

致力于帮助万千 Java 学习者持续成长。

 

Java大联盟
关注
录工作中一次FastJson经历
互联网大厂后端码农,个人IP:无一郎的技术圈,欢迎加入我的知识星球,解锁更多内容
10-29 104
FastJson里面有个序列化项的设置,为了节省存储和网络带宽的占用,默认当字段为空的时候,不对这个字段进行传输,导致前端看不到这个maxTokenLimit字段项。
一次fastJson使用的经历
黄兴丽的专栏
05-11 7164
他奶奶的,抱歉,不好意思,都要骂娘了。也许是自己第一次用第三方json解析库没啥经验吧,之前都是自己用官方提供的json api 来进行json解析,这次用了下阿里的fastjson,据说比Gson,快6倍,结果就在一个小里面折腾了一上午,在写与实体类对应的实体类时注意,实体类的名字一定要与服务器json数据的键的名字相同,否则得到的数据为空,刚开始自己也还在思考,这么多字段,fastjso是怎
使用fastJson录汇总
Y
06-27 389
在使用fastjson工具把一个领域DTO对象转为 JSON 字符串,结果导致了非属性的 get 方法被调用了,此时延时加载所需的 bean 还没有注入,导致出现空指针。
Fastjson录和“深度”学习
阿里技术
02-10 2647
本文总结了Fastjson使用时的一些注意事项,并简单分析了Fastjson的底层工作原理。
Fastjson,Gson
大鸡腿的博客
02-23 363
文章目录前言问题前因后果Fastjson firstGson number 1 前言 这里纯属吐槽下,最近移动办公加班比平时上班还猛,凌晨1点的讨论技术,处理开发bug,太难了。 步入正题,昨天遇到一个bug,就是数据库是json类型的,然后我一如既往的负责开发公共解析接口,供大家使用,为人民服务。 问题前因后果 我使用Fastjson来进行序列化对象,然后set到redis,还有反序列...
fastjson使用过程中的
热门推荐
zgzczzw的专栏
05-16 2万+
最近在工作中用到了fastjson,遇到了一些,在这里总结一下。 简介 首先,介绍一下fastjsonfastjson是由alibaba开源的一套json处理器。与其他json处理器(如Gson,Jackson等)和其他的Java对象序列化反序列化方式相比,有比较明显的性能优势。详情可以参加fastjson提供的benchmark。 benchmark for fastjson f
fastjson导致java退出_fastjson使用过程中的
weixin_39847728的博客
02-28 208
例行推广一下我的博客,喜欢这篇文章的朋友可以关注我的博客http://zwgeek.com最近在工作中用到了fastjson,遇到了一些,在这里总结一下。简介首先,介绍一下fastjsonfastjson是由alibaba开源的一套json处理器。与其他json处理器(如Gson,Jackson等)和其他的Java对象序列化反序列化方式相比,有比较明显的性能优势。详情可以参考fastjson提...
甲小蛙战:PHP2Java 排雷指南
马蜂窝技术
11-28 977
(马蜂窝技术原创内容,申请转载请在公众后后台留言,ID:mfwtech ) 大家好,我是来自马蜂窝电商旅游平台的甲小蛙,从前是一名 PHP 工程师,现在可能是一名 PHJ 工程师,以后...... 前阵子,我从大道消息听说公司商品订单技术栈要推 Java。我是一个喜欢走在时代前列线上的人,凡是要做到领先。我对 Java 也是仰慕已久,于是花了两天时间学习 Java,并调研各种框架和解决方...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5551
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
使用这45个小技巧,帮助你写出更优雅的代码
Java_LingFeng的博客
10-25 888
不知道大家有没有经历过维护一个已经离职的人的代码的痛苦,一个方法写老长,还有很多的if else ,根本无法阅读,更不知道代码背后的含义,最重要的是没有人可以问,此时只能心里默默地问候这个留的兄弟。。
FastJson升级
liangheyan的专栏
12-18 3063
事因 前段时间网上爆出FastJson漏洞后就接到公司安全部门硬性通知的全司升级,要求所有的fastjson升级到1.2.73版本,并且在发布系统进行jar包版本拦截,低于这个版本不让发布。这招比较狠!于是开启了升级之路。大家都想到了升级可能会有风险,都比较忐忑,但事还得做。 发现问题 幸运的是升级了好几个服务都顺利升级了,还挺开心的,觉得不用担心了。剩下最后一个老服务升级了。这天和其他服务升级一样也没有太担心,正常上线了一台机器。本来不想看日志检测是否有问题的,过了会觉得还是看看比较放心点。打开日志系统后
JAVA详细思路|Java安全之FastJson JdbcRowSetImpl 链分析
m0_57227221的博客
05-17 1079
Java安全之FastJson JdbcRowSetImpl 链分析 0x00 前言 这一次我们来学习 JdbcRowSetImpl 利用链, JdbcRowSetImpl 的利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。 0x01 漏洞分析 利用限制 首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。 RMI利用的JDK版本≤ JDK 6u132、7u122、8u113 LADP利用JDK版本≤
【技术分享】基于nginx流量URL探测fastjson DNS嗅探实践
一个程序员
07-27 1737
nuclei是一个开源的基于漏洞模板的扫描工具,可以利用该工具自定义payload进行扫描。{"@type"{"@type"{"@type","val"{{"@type""x"}idname-httpsCVSS3.0/AVN/ACL/PRN/UIN/SC/CH/IH/A-rawHost"@type"-type-200上面展示的是一个payload模板的制作,如果有多个payload,可以制作不同的模板文件。...
Hash算法大全(java实现)
xunianchong的专栏
11-18 1198
package com.conan; /**  * Hash算法大全  * 推荐使用FNV1算法  *   * @algorithm None  * @author Goodzzp 2006-11-20  * @lastEdit Goodzzp 2006-11-20  * @editDetail Create  */ public class HashAlgorithms
解决Fastjson的下划线与大小写映射问题
qq_43707964的博客
12-03 1913
主要解决infoId、infoid、info_id的取值映射问题
使用阿里fastjson遇到的
qq_50907269的博客
09-22 612
使用阿里的fastjson时遇到的
浅谈Gson和fastjson使用中的
qq634506153的专栏
06-09 341
相信大家在代码编写中都用过Gson和fastjson吧,用来进行 Java对象和json字符串之间的转换。 本篇文章就主要介绍博主在工作中使用这两款工具时遇到的和对应的解决办法。 觉得有用的可以点个赞哈~ 1.前言 看了下我上一篇文章的发布时间,已然是两个月前了,这两个月工作确实很忙,加班也不少,空闲的时间都去研究别的技术了(后面会写文章),这次先用此篇文章录我这段时间工作中遇到的,其实写文章的主要目的也是想录一下问题,便于帮助他人也便于自己以后查看,废话不多说,开始说明问题~ 2.G.
42. fastjson处理下划线和驼峰问题的方法和源码分析
weixin_34310785的博客
11-14 3322
一. 前言在开发过程中经常遇到json解析和生成的问题,所以用自己也一直用fastjson来实现这个功能。但是,最近遇到一个问题:json字符串里面的数据很多都是"_"下划线的比如,op_id。而在java里面,很多都是驼峰的写法,如opId那这两种可以匹配然后解析吗?二. http请求的解决方法http请求有个@JsonProperty的注解,但是这个注解,fastjso...
fastjson 1.2.24反序列化导致任意命令执行漏洞分析
爱无止
11-25 2272
环境搭建:小说搜索 shupu.org 漏洞影响版本: fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞 环境地址: https://github.com/vulhub/vulhub/tree/master/fastjson/vuln 正常访问页面返回hello,world~ 此时抓包修改content-type为json格式,并post payload,即可执...
fastjson原理一句哈
最新发布
07-03
Fastjson是一个由阿里巴巴开发的高性能Java JSON库,其主要原理在于采用了一种简洁高效的JSON序列化和反序列化的算法。它将JSON解析过程设计为词法分析和语法分析两步,减少了不必要的数据结构转换,提高了处理速度...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值