高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞

已于 2024-04-26 10:12:19 修改
阅读量3.2k 收藏
点赞数 1
分类专栏: 日常记录 文章标签: fastjson json 安全 漏洞 autotype
于 2020-06-12 17:59:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25112523/article/details/106720772
版权
前言

Fastjson <=1.2.68版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。

漏洞详情

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。

本次漏洞发现,其autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。

漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕过黑名单的限制。

影响版本
  • Fastjson <= 1.2.68
修复建议

可以采取以下方案进行解决:

  • 1.直接更新版本,现在可升级至最新的 1.2.70 版本;
  • 2.Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响)。
github地址

https://github.com/alibaba/fastjson/releases.

在这里插入图片描述
在这里插入图片描述

欢迎关注公众号:慌途L
后面会慢慢将文章迁移至公众号,也是方便在没有电脑的情况下可以进行翻阅,更新的话会两边同时更新,大家不用担心!
在这里插入图片描述

慌途L
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Json学习总结(6)——Fastjson远程代码执行漏洞
科技D人生
07-12 2791
一、修复方法 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29/1.2.30/1.2.31或者更版本。 1.2.29//1.2.30/1.2.31是在1.2.28版本上修复了一些大家升级过程中遇到的问题的版本,非安全问题,如果升级到1.2.25~1.2.28以及各种sec01版本的,也是没有安全问题的。 1...
JackJsonFastJson
九离的博客
10-07 737
当今大数据时代的到来,JSON 已经成为了互联网领域中最流行的数据交换格式之一。在 Java 领域中,常用的 JSON 库包括 fastjson 和 Jackson。根据业务上的不同需求,以及公司要求,本文来说一下俩款不同json的使用方法和区别;
fastjson-autotype-bypass-demo:fastjson 1.2.68版本自动键入绕过
03-08
fastjson-autotype-bypass-demo fastjson 1.2.68版本有限制自动类型绕过 参考 《 fastjson 1.2.68自动键入绕过反序列化细分小工具的一种挖掘思路》: ://b1ue.cn/archives/382.html 《 fastjson 1.2.68最版本有限制自动键入绕过》: ://b1ue.cn/archives/348.html
【Linux】升级FastJSON版本-jar
最新发布
m0_52985087的博客
07-09 1315
在长期运行的应用服务器上,近期的安全漏洞扫描揭示了fastjson组件存在潜在的安全隐患(FastJSON是一个Java 语言实现的 JSON 解析器和生成器。FastJSON存在远程代码执行漏洞,恶意攻击者可以通过此漏洞远程执行恶意代码来入侵服务器)。为解决这一漏洞,解决方案是对fastjson版本的升级,以增强系统的安全性。为了避免因重打包整个应用带来的不便与效率损失,我们采取了一种更为灵活的更策略——直接在生产环境中升级fastjson至最稳定版本。
Fastjson v1.2.80 Throwable AutoType 机制绕过漏洞分析
include_voidmain的博客
05-26 3582
声明 以下内容,来自且听安全公众号的QCyber作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 漏洞信息 近期Fastjson Develop Team报告了Fastjson v1.2.80存在AutoType绕过反序列化漏洞,通报如下: 漏洞在特定条件下可以绕过默认关闭的AutoType限制,结合一个的利用链,可实现RCE 。 0x02 AuthType 机制 Fastjson通过函数`parse`
fastjson漏洞修复:开启safeMode禁用autoType
沛哥儿的专栏
05-26 6966
Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响 2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。
Fastjson 1.2.68版本Autotype绕过技巧
Fly_鹏程万里
06-29 3072
影响范围 Fastjson 1.2.68 漏洞类型 Fastjson 1.2.68 AutoType Bypass(通过异常类) org.openqa.selenium + Fastjson可造成信息泄露 绕过类对象的访问 利用条件 Gadget必须继承自 Throwable 异常类 漏洞概述 该漏洞和以往的 AutoType Bypass不同,要求 Gadget必须继承自 Throwable 异常类,所以常见的 JNDI Gadget无法在此处使用,只能寻找在异常类中的构造方法、set方.
Fastjson 爆出远程代码执行高危漏洞
金溪的博客
03-23 4216
fastjson近日曝出代码执行漏洞,恶意用户可利用此漏洞进行远程代码执行,入侵服务器,漏洞评级为“高危”。基本介绍fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。漏洞介绍fastjson在1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程...
什么是FastJsonAutoType反序列化漏洞?
hosaos的博客
06-30 1万+
文章目录频繁出现的反序列化漏洞parse()及parseObject()AutoType安全校验AutoType安全校验AutoType黑名单机制SafeMode安全机制攻击思路反序列化攻击模拟TemplatesImpl攻击调用链路攻击类Translet生成构造攻击JSON串攻击模拟写在最后 频繁出现的反序列化漏洞 最近公司的小伙伴们收到了一波安全工单,因为FastJson存在高危漏洞,要求将FastJson版本号升级到1.2.69及以上 漏洞描述如下 在Fastjson<=1.2.68的版本中,
高危安全通告】fastjson≤1.2.80反序列化漏洞
qq_43354717的博客
05-25 225
近日Fastjson Develop Team 发现 fastjson 1.2.80及以下存在的风险,请关注。 1. 风险描述 fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。 2. 影响版本 特定依赖存在下影响 ≤1.2.80 3. 升级方案 3.1升级到最版本1.2.83 https://github.com/alibaba/fastjson/
从源码看Log4j2、FastJson漏洞
wdj_yyds的博客
12-31 4540
前言 远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器的CPU不得美滋滋了。 前段时间,Java 界的知名日志框架 Log4j2 发现了远程代码执行漏洞漏洞风暴席卷各大公司,编程届异常火热(加班),我们是万万没想到那么牛逼的日志框架有BUG。 这次安全漏洞也有个小插曲,我司的员工发现漏洞,上报了Apache没告知GXB,我司也受到了处罚,希望下次引以为戒,不过这事程序员不背锅,管理下次
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
安全基础:0-day漏洞
知行合一 止于至善
06-09 5778
这篇文章以阿里巴巴的FastJSon来介绍一下Zero-day(0-day)漏洞的基础常识。
FastJsonAutoType反序列化漏洞
qq_53058639的博客
02-20 1427
Fastjson
Fastjson 1.80绕过分析
热门推荐
钞sir的博客
06-03 1万+
你与我欠缺缘分 情如落日渐昏暗
Java代码审计&FastJson反序列化&利用链跟踪&动态调试&autoType绕过
qq_46081990的博客
01-16 1482
本文深入分析了FastJson历史版本漏洞的利用链,使用IDEA动态跟踪调试,介绍了各版本不同CC链的关键执行流程及对应Poc的构造思路,另外还介绍了针对FastJson不同版本防御手法的绕过思路等等。
安全漏洞Fastjson反序列化漏洞
孤芳不自赏
05-27 1万+
引言 昨天,我收到了集团安全部门的告警消息:Fastjson≤1.2.80版本存在反序列化漏洞,好家伙,着手开搞,这又是一个不眠夜的开始,哦,为什么说“又”呢?还记得去年12月份log4j2报过重大安全漏洞…… 风险描述 fastjson已使用黑白名单用于防御序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全 影响版本 Fastjson≤1.2.80 解决方案1:升级到最版本1.2.83..
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3200
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
代码审计-Fastjson各版本漏洞分析(上)
dzqxwzoe的博客
08-03 1657
最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值