fastjson反序列化字段值丢失问题总结

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: fastjson 文章标签: json java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1170993239/article/details/105978004
版权

做一下记录,已经是第二次踩坑了。
最常见的就是说属性字段特殊,在创建setter方法不是规范的驼峰命名。该类问题可跳转至FastJson反序列化获取不到值查看。
还有可能是json字符串的原因,如

String ss = "{"name ":"lix","age","18","addr":"sichuan"}";

这串json咋眼看去没啥问题,但是在name后面跟了一个很不起眼的空格,就造成user对象的name属性无法正常接收。希望对再遇到类似问题的码友有帮助

牧子与羊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
总结,Spring MVC结合Fastjson处理日期时间时,可以通过实体类字段注解或自定义消息转换器来实现反序列化和序列化的日期格式化。这不仅提高了代码可读性,还能避免前端在处理日期时的额外工作。正确配置后,日期将以...
Jackson反序列化时,因为JSON缺失字段,导致反序列化失败
qq_35081562的博客
02-22 832
使用Jackson,因为JSON字段不完全,导致JSON反序列化失败的解决方案。
FastJson生成json字符串字段丢失
@凭栏
07-30 1267
1.FastJson生成json字符串字段丢失 privateStringid; privateStringpId; privateStringname; privatebooleanopen; FastJson生成字符串是:{"id":"2","name":"节点1","open":true} Gson生成字符串是:{"id":"2","pId":"1","name":"节点1","open":true} 原因:get,set方法多半是自动生成的...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
最新发布
小司机的奥拓
04-23 2192
在复现的过程中我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是javajavac的版本问题,一定要保证二者都是1.8的版本!其他fastjson的漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
【工作技术栈】【源码阅读】FastJSON反序列化丢失属性问题
qq_39760347的博客
10-08 878
fastjson反序列化丢失属性的问题记录
fastjson反序列化丢失数据
never
11-20 231
1.在反序列化的时候使用Jackson,student的主键id仍然为null。在反序列化之后:student的主键id为null。2.序列化和反序列化都使用Jackson,问题解决。3.从redis中取出students进行反序列化。1.fastjson序列化students 集合。2.将序列化后的数据存入redis。从redis中取出数据正常。
fastjson 判断是否包含_fastjson反序列化时没法判断某个字段是否存在
weixin_39531374的博客
12-18 539
Bean对象:public class Student {private String name;private String gender;public String getName() {return name;}public void setName(String name) {this.name = name;}public String getGender() {return gende...
fastjson反序列化接口字段为null
qq_38830524的博客
03-23 1830
先看一个例子 Packet类,其中的IPlayMessage字段为接口 @Data @AllArgsConstructor @NoArgsConstructor public class Packet { private int packetNo; private Date date; private IPlayMessage message; } IPlayMessage接口 public interface IPlayMessage {} PositionMessage实现类
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
基于Java实现JSON反序列化器(编译原理)
06-21
在实际应用中,Java提供了许多库来处理JSON,例如Jackson、Gson、Fastjson等,它们已经实现了高效且功能丰富的反序列化器。然而,通过理解编译原理并亲手实现一个简单的JSON反序列化器,我们可以更深入地理解JSON的...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
com.alibaba.fastjson.support.spring.FastJsonHttpMessageConverter可能导致返回结果字段丢失
慕容的博客
01-11 8160
   今天,有同事在项目中引入了这个配置,结果导致前端数据显示有问题 ,树形权限错乱: <mvc:annotation-driven> <mvc:message-converters> <bean class="com.alibaba.fastjson.support.spring.FastJsonHttpMessageConverter"> ...
fastjsonJSONObject.toJSON导致DTO部分属性丢失问题
lisheng19870305的专栏
11-12 2万+
问题1: 使用Fastjson生成Json字符串少字段属性   我使用Fastjson将节点对象Node生成JSON字符串时少个对象属性,麻烦你看一下是怎么回事,是bug吗?我用Gson就没出现问题! 这是节点对象文件Node.java   package per.eblink.pojo; public class Node { private String i...
fastjson 序列化 不包括转义字符_fastjson漏洞复现
weixin_39806288的博客
11-19 395
公司的web项目全是java写的,作为java菜鸟,迫不得已来看fastjson的漏洞了,但分析是不可能会分析的,只能看看分析文章,复现一下勉强维持生活这样子。1. 背景fastjson是Alibaba开发的,java语言编写的高性能JSON库,采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。其项目地址为https://github.com/alibaba/fastjson,其...
fastjson判空_Spring boot FastJson 返回JSON数据删除了NULL空字段解决办法
weixin_26938645的博客
12-23 578
在国内项目中,阿里的fastjson包因其使用简单功能强大很多人喜欢在项目中使用,我也是其中一员。今天主要讨论的是在某些情况下因fastjson的默认配置删除了空的字段,这对于小项目的前端处理就有些恼火了,每次要验证所有的字段非空,为了简单还是将null转换为空串比较方便。下面就spring boot项目中存在该问题进行解决。首先在web配置中找到fastjson的响应配置,如下:@Beanpu...
FastJson 1.2.71以上版本加了JSONField的字段无法反序列化
您已进入外太空
09-18 1232
测试用例: public class FastJsonBug { public static void main(String[] args) { String s = "{ \"componentKey\" : \"CMDB_UPDATE_SERVER\"}"; Step step = JSON.parseObject(s, Step.class); System.out.println(step.getComponentKey()); ...
集合里有多种子类反序列化 子类属性丢失问题 Java代码实现[解决循环引用问题]
热门推荐
qq_21078159的博客
06-07 6万+
先放一段代码 public class Test { public static void main(String[] args) { //建立一个数组 第一个放入child 第二个放入parent List<Parent> list = new ArrayList<>(); Parent parent = new Parent(); parent.setX("1"); Child chil
关于序列化后反序列化丢失几大问题总结
武亚军的博客
01-19 8601
序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 反序列化失败原因:(目前只遇到过两种) 没有添加 serialVersionUID 可能会导致反序列化失败 生成默认的serialVersionUID --> [Ad
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
Fastjson是一款Java语言编写的高性能JSON处理器,被广泛应用于各种Java应用程序中。然而,Fastjson存在反序列化漏洞,黑客可以利用该漏洞实现远程代码执行,因此该漏洞被广泛利用。 检测Fastjson反序列化漏洞的方法: 1. 扫描源代码,搜索是否存在Fastjson相关的反序列化代码,如果存在,则需要仔细检查反序列化的过程是否安全。 2. 使用工具进行扫描:目前市面上有很多漏洞扫描工具已经支持Fastjson反序列化漏洞的检测,例如:AWVS、Nessus、Burp Suite等。 利用Fastjson反序列化漏洞的方法: 1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现文件读取操作。 3. 利用Fastjson反序列化漏洞实现反弹Shell:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现反弹Shell操作。 防范Fastjson反序列化漏洞的方法: 1. 更新Fastjson版本:Fastjson官方在1.2.46版本中修复了反序列化漏洞,建议使用该版本或更高版本。 2. 禁止使用Fastjson反序列化:如果应用程序中不需要使用Fastjson反序列化功能,建议禁止使用该功能,可以使用其他JSON处理器。 3. 输入验证:对所有输入进行校验和过滤,确保输入数据符合预期,避免恶意数据进入系统。 4. 序列化过滤:对敏感数据进行序列化过滤,确保敏感数据不会被序列化。 5. 安全加固:对系统进行安全加固,如限制系统权限、加强访问控制等,避免黑客利用Fastjson反序列化漏洞获取系统权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值