Fastjson漏洞修复参考

最新推荐文章于 2024-05-30 14:49:13 发布
最新推荐文章于 2024-05-30 14:49:13 发布
阅读量6.8k 收藏 8
点赞数
分类专栏: 应用安全 文章标签: json 安全 java fastjson漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/106868816
版权

Fastjson漏洞修复参考

1. 漏洞背景

​ Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。

受影响的版本:

fastjson <=1.2.68

fastjson sec版本 <= sec9

恶意攻击者可以利用漏洞攻击做到:

1、执行远程命令,获取服务数据

2、执行远程命令,植入后门,控制服务器

2. 修复思路

1.升级至安全版本.

2.对fastjson进行一定的安全加固措施

3.采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson

4.使用WAF紧急漏洞拦截,再升级到安全版本

3. 代码修复

1.升级至安全版本,参考下载链接:https://repo1.maven.org/maven2/com/alibaba/fastjson/

2.对fastjson进行一定的安全加固措施

​ fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)

开启方法参考:

打开SafeMode功能

在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。

有三种方式配置SafeMode,如下:

A.在代码中配置

ParserConfig.getGlobalInstance().setSafeMode(true);

B.加上JVM启动参数

    -Dfastjson.parser.safeMode=true

如果有多个包名前缀,用逗号隔开

C.通过fastjson.properties文件配置。

通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.safeMode=true

3.采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson

煜铭2011
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里巴巴fastjson漏洞攻击
u013637451的博客
09-10 1813
一 前言 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 二 漏洞介绍 Fastjson 1.2.60版本以下存在字符串解析异常 该漏洞会导致java进程的占用内存迅速涨到JVM允许的最大值(-Xmx参数,默认为1/4物理内存大小),并且CPU飙升。 该漏洞并...
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2228
Fastjson组件反序列化分析,从基础到RCE的过程笔记
fastJson≤1.2.80漏洞修复
Champion-Dai
06-15 3631
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类,在特定条件下这可能导致远程代码执行。高危、任意命令执行。Fastjson ≤1.2.80以下三种修复方案根据业务选择任一合适方案即可:方案一、建议升级到最新版本1.2.83。参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83方案二、safeMode加固:Fastjson在1.2.6
java代码审计之fastjson反序列化漏洞
最新发布
CheatMyself的博客
05-30 928
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化。
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 2680
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Fastjson漏洞利用合集
2301_76786857的博客
03-07 1456
FastJson 是Alibaba 的一款开源Json解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞
Fastjson漏洞复现
Bird&Bird
09-28 2866
目录概述漏洞环境漏洞复现编写恶意类编译并开启RMI服务 概述 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 漏洞环境 靶场选择使用vulhub搭建,网址:https://github.com/vulhub/vulhub 下载vulhub,找到fastjson/1.2.24-rce目录,使用docker-compose up -d启动环境。 docker ps -a 查看
Fastjson RCE漏洞复现和理解
Delphinidae
03-28 2372
漏洞fastjson 远程代码执行漏洞 漏洞原因:fastjson在执行反序列化时加载数据被注入,注入的数据被解析执行导致任意命令执行。 漏洞历史:现在fastjson的版本已经到了1.2.73了,但是历史上高危漏洞频繁出现。 如:1.2.24 出的反序列漏洞,经过对类的黑名单限制和autotype的关闭、checkautotype等,还是还被绕过限制,如:1.2.47,1.2.68 的漏洞,都是绕过限制加载恶意的类并造成远程代码执行的高危漏洞漏洞复现:复现版本是1.2.47。 漏洞复现github上
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 2667
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
fastjson 判断是否包含_fastjson漏洞学习分析
weixin_34551573的博客
01-11 1175
0x00前言前面写了fastjson的利用,现在补上fastjson的分析,后面附上探测后端是否使用fastjon的方法(1.2.67)。0x01fastjson基本使用toJSONString()parseObject()这两个函数一个将对象转化为json字符串,一个将json字符串反序列化成对象。image.png一般来说使用第一种方法输出json字符串,这里将第二种方法写出来,是想体现fas...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson漏洞环境
01-12
**Fastjson 漏洞详解** Fastjson 是阿里巴巴开源的一款高性能的 Java JSON 库,它提供了将 Java 对象转换为 JSON 字符串以及从 JSON 字符串反序列化为 Java 对象的功能。然而,自其发布以来,Fastjson 一直存在一些...
FastJson 漏洞.md
05-27
### Fastjson 漏洞详解 #### 一、Fastjson简介与作用 Fastjson是由阿里巴巴开发的一款用于处理JSON数据的Java库。它提供了一系列的方法帮助开发者实现Java对象和JSON之间的相互转换,具备高效、易用的特点。...
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过更新到1.2.71版本来修复这些已知的安全问题。 Fastjson安全漏洞通常涉及其自动类型识别机制。这个机制允许JSON字符串...
腾讯2016实习招聘-安全岗笔试题答案详细解释
热门推荐
煜铭2011
06-11 8万+
0x00前言 鉴于曾经做过腾讯找招聘-安全技术笔试题目,故留此一记,以作怀念。此外,网上也有公布的相关的答案,但是其中有些题目稍有错误或者解释不全,所以趁机写上一记。 0x01 开始 2016年4月2日晚上7:00到9:00,腾讯2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30道不定项选择题、10道简答题和5道判断题,题量是45,限时80分钟。第二部分
XSS插入绕过一些方式总结
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
使用nmap绕过防火墙进行扫描
煜铭2011
04-17 5万+
0x00 前言     现在很多的网络应用都被防火墙保护着,那我们平时在进行扫描的时候,往往一无所获,因此我们在面对防火墙/IDS/IPS的防护应用时,该如何使用nmap 绕过这些防火墙的限制进行端口服务扫描? 0x01 使用nmap 脚本进行防火墙检测 root@kali:~# nmap --script=firewalk --traceroute m.anzhi.com root@
fastjson 漏洞
09-02
你想了解有关 fastjson 漏洞的信息吗?fastjson 是一个流行的 Java JSON 库,但在过去的一段时间里,它曾经存在一些安全漏洞。其中最著名的是 fastjson 1.2.24 版本以下的版本中的反序列化漏洞(CVE-2020-1948),该漏洞允许攻击者通过构造恶意 JSON 数据来执行任意代码。 这个漏洞修复版本是 fastjson 1.2.24,如果你使用的是较早版本的 fastjson,请升级到最新版本以确保安全。此外,你还应该注意其他安全最佳实践,如避免将不受信任的 JSON 数据直接反序列化为 Java 对象,并确保对 fastjson 库进行及时的更新和升级。 如果你需要更多关于 fastjson 漏洞的详细信息,我建议你参考 CSDN 或其他可靠的安全资源,了解最新的安全建议和补丁信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值