Java代码审计之Fastjson反序列化漏洞详解

已于 2024-01-22 16:15:58 修改
阅读量2.1k 收藏 10
点赞数 3
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: java 开发语言
于 2022-09-16 15:31:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/126866941
版权

1、Fastjson简介

FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。

项目地址:GitHub - alibaba/fastjson: A fast JSON parser/generator for Java.

“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。“

漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。构造一个触发器,也就是通过什么方式来让攻击链执行你想要的代码。触发器可以通过很多方式,比如静态代码块、构造方法等等。

Fastjson反序列化漏洞被利用的原因,可以归结为两方面:

1. Fastjson提供了反序列化功能,允许用户在输入JSON串时通过 “@type”键对应的value指定任意反序列化类名。

2. Fastjson自定义的反序列化机制会使用反射生成上述指定类的实例化对象,并自动调用该对象的setter方法及部分getter方法。

攻击者可以构造恶意请求,使目标应用的代码执行流程进入这部分特定setter或getter方法,若上述方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
Fority代码审计工具介绍
ghoulvspol的安全生活
01-12 2万+
Fortify SCA简介 Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。 Fortify SCA 产品组件介绍: Fortify SCA是一个产品的套件,它是
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
Java基础 | 专业排行榜前7的Java代码审计工具
ch98000的博客
09-02 5776
本文给出了上面的所有好的Java审计工具和基本使用方法,和各自特点,并且以上都很好用,都很优秀,如果能好好使用,可以让工作效率大大增加。
java代码审计
qq_44256371的博客
12-06 1440
java代码审计
探索高效Java审计:Audit-Java项目详解
最新发布
gitblog_00049的博客
04-23 391
探索高效Java审计:Audit-Java项目详解 项目地址:https://gitcode.com/ReAbout/audit-java 在这个数字化的时代,代码安全和质量已经成为软件开发的基石。Audit-Java 是一个强大的开源工具,它专注于帮助开发者发现并修复Java项目的潜在问题。本文将深入解析该项目的技术特性,应用价值及亮点,引导你更好地利用它提升你的Java开发效率和代码质量。 项...
java安全】FastJson反序列化漏洞浅析
leekos的博客,分享web安全相关知识~
08-24 1585
前面我们学习了RMI和JNDI知识,接下来我们就可以来了解一下FastJson反序列化FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以将JSON字符串反序列化JavaBean。
干货分享 | 3分钟读懂漏洞扫描与代码审计的区别
weixin_55163056的博客
04-27 656
代码审计可以发现更多的漏洞,因为它没有漏洞数据库限制,可以发现一些新的、未知的漏洞漏洞扫描工具可以利用已知的、公开的漏洞数据库来快速检测出存在的漏洞,并通过相关的技术手段完成漏洞利用。然而,由于漏洞扫描工具都是基于预先定义的漏洞数据库进行扫描的,因此漏洞扫描并不能发现新的、未知的漏洞漏洞扫描(漏扫),学名:网络脆弱性扫描,是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为。漏洞扫描和代码审计都是安全测试的重要工具,但它们的。
Java反序列化漏洞自动挖掘方法.pdf
08-21
总之,Java反序列化漏洞的自动挖掘是信息安全建设中不可或缺的一环,它涉及到安全审计、安全架构和漏洞管理等多个方面。通过理解反序列化的机制,结合静态分析和搜索算法,可以有效地发现并预防这类漏洞,从而保护...
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
基于Java实现JSON反序列化器(编译原理)
06-21
在实际应用中,Java提供了许多库来处理JSON,例如Jackson、Gson、Fastjson等,它们已经实现了高效且功能丰富的反序列化器。然而,通过理解编译原理并亲手实现一个简单的JSON反序列化器,我们可以更深入地理解JSON的...
fortify插件
10-18
fortify插件
JAVA代码审计
小白鸽
02-23 582
在后端代码处,首先经过Filter(过滤器)和Interceptor(拦截器),然后根据请求的URL映射到绑定的Controller,之后调用Service接口类,然后再调用serviceImpl接口实现类,最后调用DAO。src/main下面有两个目录,分别是java和resources,java目录中主要存放的是java代码,resources目录中主要存放的是资源文件,比如:html、js、css等。@ResponseBody 注解:将该注解写在类的外面,表示这个类所有方法的返回的数据直接给浏览器。
代码审计工具
m0_51428325的博客
04-30 2318
三款自动化代码审计工具各有优势,我是下载的VCG做的代码审计,可以根据自身的实际情况选择工具。 0×01简介 工欲善其事,必先利其器。 在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、Fortify SCA。 RIPS是一款开源的,具有较强漏洞挖掘能力的自动化代码审计工具。它使用PH..
java代码审计_Java代码审计入门篇
weixin_39923945的博客
02-12 746
本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 Java环境说明1. 安装Java环境安装完成后默认的安装目录:环境变量的配置,环境变量配置主要是告诉我们自己的电脑Java安装完后几个...
Java代码审计方法
lubenwei1201的博客
04-07 65
揭秘代码的安全漏洞是如何被发现的:代码扫描工具fortify的详细介绍
G探险者的博客
03-25 5289
通过持续地关注安全漏洞并采取有效的安全措施,公司和开发团队可以大大降低潜在的风险,并确保项目的安全性和质量。集成支持:Fortify 可以与多种持续集成(CI)工具(如 Jenkins、Bamboo 等)和应用生命周期管理(ALM)工具(如 Jira、Microsoft Azure DevOps 等)集成,实现自动化的代码扫描和漏洞跟踪。CVE 数据库的主要目的是为安全漏洞提供一个唯一的、标准化的命名约定,以便安全研究人员、开发人员和 IT 专业人员能更容易地共享和讨论漏洞信息。
fastjson 检测json格式_Fastjson 流程分析及 RCE 分析
weixin_34234884的博客
01-17 940
其实最近爆出的这个rce在去年的时候就有更新,poc在github的commit记录中也有所体现,之前已经有很多非常好的分析文章对整个漏洞进行了详尽的分析,我这里只记录一下自己的跟踪过程,以及在跟踪时所思考的一些问题。0x01 Fastjson化流程简述在廖大2017年的一篇博文中就对Fastjson反序列化流程进行了总结:在具体的跟进中也可以很清晰的看到如图所示的架构。对于编程人员来说,只需要...
Java代码审计Fastjson代码审计实战
网络安全从业者的学习笔记
01-24 617
漏洞分析采用的是华夏ERP2.3, 查看pom.xml文件发现fastjson版本1.2.55,该版本存在漏洞,利用DNSlog进行验证。
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值