安全漏洞笔记-Fastjson高危漏洞预警

最新推荐文章于 2024-04-11 17:57:36 发布
最新推荐文章于 2024-04-11 17:57:36 发布
阅读量240 收藏
点赞数
文章标签: 前端 服务器 hibernate java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34779721/article/details/134256815
版权

安全漏洞笔记-Fastjson高危漏洞预警

影响

Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险

漏洞影响版本: Fastjson ≤ 1.2.80

人工检测方法:

• Maven:排查pom.xml,通过搜索Fastjson确定版本号

• 其他项目通过搜索jar文件确定Fastjson版本号:lsof | grep fastjson

目前官方已在最新版本1.2.83中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://github.com/alibaba/fastjson/releases\n\n*****升级步骤如下:

备份原fastjson依赖库,避免升级失败的情况发生。

将低版本的fastjson库替换为1.2.83版本即可

期待奔跑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Fastjson版本漏洞分析(下)
xxwn200301的博客
04-12 1364
1.2.44中对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String,>, int)成功拦截分析一下,发现如果开头是[就直接抛出异常那再看看1.2.41里面的绕法呢,前面加个L,后面加个;,发现会检查结尾是否为;,是的话也抛出异常。
版本fastjson-1.2.71解决安全漏洞.rar
04-14
版本fastjson-1.2.71解决安全漏洞
FastJson中AutoType反序列化漏洞
isxiaole的博客
05-06 7088
FastJson中AutoType反序列漏洞梳理。
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 5902
【代码】fastjson1.2.83反序列化漏洞
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
最新发布
2301_79837041的博客
04-11 1663
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
Fastjson反序列化远程代码执行漏洞
m0_56033865的博客
06-15 4265
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。先贴一个解决漏洞的方案: 不过任何升级一定会伴随或大或小的bug,一定要对业务的影响做评估。下面对漏洞原理进行介绍: fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制,而是自
Fastjson漏洞详情
GyaoG的专栏
05-30 5517
一、fastjson漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,是目前Java语言中最快的JSON库。由于Fastjson其优越的性能,被广泛使用在缓存序列化、协议交互等多种应用场景。然而在2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认aut...
gexin-rp-fastjson-1.0.0.1.jar
06-13
un push相关推送jar文件,找了很久才找到,保存下,有需要的欢迎下载
converter-fastjson-android-2.1.0.jar
02-08
converter-fastjson-android-2.1.0.jar
亲手带你解决Debug Fastjson安全漏洞
10-15
主要介绍了亲手带你解决Debug Fastjson安全漏洞,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
retrofit-converter-fastjson,改造变频器fastjson.zip
10-13
转换器FastJSON
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
springboot-fastjson-auto-transform-enum.zip
09-10
springboot 使用fastjson自定义序列化和反序列化
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
json-gson-fastJson的jar
08-25
json-gson-fastJson的jar
关于Fastjson反序列化远程代码执行漏洞处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-25 1万+
一、风险描述 集团公司近期通知,根据相关安全纰漏,对Fastjson反序列化远程代码执行漏洞提出预警,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响,特要求限期排查整改。 Fastjson是开源JSON解析库,fastjson.jar是阿里开发的一款专门用于Java开发的,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序
笔记fastjson版本高危漏洞预警
u010039262的博客
06-06 872
Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险 漏洞影响版本:Fastjson≤1.2.80
fastjson反序列化安全漏洞解决方法
04-25
对于 fastjson 反序列化安全漏洞,可以采取以下几个解决方法: 1.禁止使用 fastjson 进行反序列化,并使用其他 JSON 解析库,例如 Jackson 或 Gson。 2.升级 fastjson 至最新版本,因为 fastjson 团队会在新版本中修复已知的安全漏洞。 3.启用 fastjson 的一些安全配置,例如 ParserConfig.setSafeMode(true),该配置可以防止对象类型构建器和 getter/setter 非法访问,从而降低攻击面。 4.限制 fastjson 序列化/反序列化的输入和输出,例如限制反序列化的类路径或白名单等。这样可以减少攻击者利用反序列化漏洞进行代码执行的可能性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

期待奔跑

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值