autoType is not support. org. springframework.security.core.authority FastJson2022年autotype漏洞修复指南

已于 2022-05-30 17:00:10 修改
阅读量6.2k 收藏 15
点赞数 24
分类专栏: 踩坑指南 文章标签: java 安全 web安全
于 2022-05-27 10:09:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38977441/article/details/124997615
版权

FastJson2022年autotype漏洞修复指南

漏洞说明

为了不浪费时间,直接官方说明
官方链接: link

问题

首先说明官方提供给的几种方式中大多是采取禁用autoType这个功能。
但是这个对于业务中使用了autotype功能且已经上线的应用非常不友好,直接使用最新版本fastjson或者开启safemode都会直接导致原有应用报错。下面介绍我司应用升级采取的修改,各位可参考

1.产生问题的代码

在使用fastjson 代理redis的template模板时开启了autotype

    @SuppressWarnings("all")
    @Bean(name = "redisTemplate")
    @ConditionalOnMissingBean(name = "redisTemplate")
    public RedisTemplate<Object, Object> redisTemplate(RedisConnectionFactory redisConnectionFactory) {
        RedisTemplate<Object, Object> template = new RedisTemplate<>();
        //序列化
        FastJsonRedisSerializer<Object> fastJsonRedisSerializer = new FastJsonRedisSerializer<>(Object.class);
        // value值的序列化采用fastJsonRedisSerializer
        template.setValueSerializer(fastJsonRedisSerializer);
        template.setHashValueSerializer(fastJsonRedisSerializer);
        // 全局开启AutoType,这里方便开发,使用全局的方式
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        // 建议使用这种方式,小范围指定白名单
//         ParserConfig.getGlobalInstance().addAccept("me.zhengjie.domain");
        

        // key的序列化采用StringRedisSerializer
        template.setKeySerializer(new StringRedisSerializer());
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setConnectionFactory(redisConnectionFactory);
        return template;
    }

在使用fastjson进行序列化和反序列化时使用了SerializerFeature.WriteClassName,因此产生了@type类型的漏洞

/**
 * Value 序列化
 *
 * @author /
 * @param <T>
 */
 class FastJsonRedisSerializer<T> implements RedisSerializer<T> {

    private final Class<T> clazz;

    FastJsonRedisSerializer(Class<T> clazz) {
        super();
        this.clazz = clazz;
    }

    @Override
    public byte[] serialize(T t) {
        if (t == null) {
            return new byte[0];
        }
        //!!!!问题所在
        return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(StandardCharsets.UTF_8);
    }

    @Override
    public T deserialize(byte[] bytes) {
        if (bytes == null || bytes.length <= 0) {
            return null;
        }
        String str = new String(bytes, StandardCharsets.UTF_8);
        return JSON.parseObject(str, clazz);
    }

}

不兜圈子,直接说明升级及解决方案

首先升级fastjson,我司版本由1.2.70>1.2.83
什么配置都不动,启动项目登陆后报错
报错是这样的:
auto type is not support : security
在这里插入图片描述
此处直接贴解决方案:redisConfig的redisTemplate中添加白名单

        // 全局开启AutoType,这里方便开发,使用全局的方式
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        // 建议使用这种方式,小范围指定白名单
//         ParserConfig.getGlobalInstance().addAccept("me.zhengjie.domain");
        ParserConfig.getGlobalInstance().addAccept("org.springframework.security.core.authority.");
        TypeUtils.addMapping("org.springframework.security.core.authority.SimpleGrantedAuthority",
                SimpleGrantedAuthority.class);

类似这种类型的错都可以试下。
完成后项目正常启动,访问暂时未发现其他问题

结语

首先这种改法会不会造成漏洞放开还是未知,毕竟至今作者也没有公布漏洞的利用条件。但我相信作者将security放入黑名单肯定是有一定目的的。
其次,如今升级后普遍反映时间反序列化后丢失分秒,这个问题暂时未碰到。后续测试观望。

我是和弦,创作不易,有用请点个赞

和弦c调来编程
关注
  • 24
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
解决com.alibaba.fastjson.JSONException: autoType is not support. xxx 问题
qq_17731471的博客
06-07 1424
最近搞一个项目遇到一个RedisConfig序列化问题,是用fastjson做的。
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
FastJsonAutoType反序列化漏洞
Innocence_0的博客
05-27 439
Fastjson
FastJsonFastJson AutoType
最新发布
九师兄
06-30 87
之前有网友对比过:当然,
autoType is not support.org.springframework.security.core.authority.SimpleGrantedAuthority错误记录(亲测可用)
黄团团的个人博客
08-25 908
问题是发生在SpringSecurity框架中,从Redis中获取登录用户信息的时候报的autoType is not support.org.springframework.security.core.authority.SimpleGrantedAuthority的错误,这边记录一下这个问题的解决方案。
升级FastJson后,出现 autoType is not support. org.springframework.security.core.GrantedAuthority错误
parado的工作日志
08-30 677
fastjson 旧版漏洞升级后出现的问题
com.alibaba.fastjson.JSONException:autoType is not support. org.xx.security.SimpleGrantedAuthority异常
码不多的博客
06-13 1765
com.alibaba.fastjson.JSONException:autoType is not support. org.xx.security.SimpleGrantedAuthority异常
解决com.alibaba.fastjson.JSONException:autoType is not support问题,Redis FastJson
djouyang9090的博客
03-17 8815
解决fastjson反序列化问题,fastjson2.0.xx,redisconfig
fastjson autoType is not support
weixin_45278293的博客
08-09 2229
在做SpringSecurity 的用户权限功能时,登录用户实体类中需要获取权限信息。实体类继承,通过方法获取用户权限信息。用户登录后,将该实体类存储在redis中,然后校验用户权限时,用携带的 token 再次从redis 中获取该用户信息。在获取。...
FastJson解析失败,autotype is not support
haloisacer的博客
11-21 9795
最近在整合redis的时候,发现数据从redis取出后无法强转为原先存入的对象,因为我的HttpMessage解析用的是FastJson,所以为了保持一致,我将RedisSerializer&lt;T&gt;接口实现了,然后主动注入RedisTemplate,将其中的序列化方式指定为FastJson。但是在执行反序列化的最后一步JSON.parseObject(str, clazz);始终提示(a...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson-1.2.66版 2020最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复...
fastjson-bypass-autotype-1.2.68:fastjson使用Throwable和AutoCloseable绕过自动类型1.2.68
03-08
fastjson-bypass-autotype-1.2.68 fastjson因为exceptClass期望类的特性导致可以通过AutoCloseable和Throwable绕过自动类型。复现运行org.chabug.fastjson.DemoApplication ,访问 自动关闭绕过POST /parseObject ...
fastjson-autotype-bypass-demo:fastjson 1.2.68版本自动键入绕过
03-08
fastjson-autotype-bypass-demo fastjson 1.2.68版本有限制自动类型绕过参考《 fastjson 1.2.68自动键入绕过反序列化细分小工具的一种挖掘思路》: ://b1ue.cn/archives/382.html 《 fastjson 1.2.68最新版本有限制...
MyBatis-Plus找不到Mapper.xml文件,解决方法
热门推荐
Software As Business
05-20 1万+
MyBatis-Plus找不到Mapper.xml文件1.原因1:原因2:原因3: 1.原因1: Mapper的命名空间和Dao层的接口。此种原因的解决方法为将命名空间和接口名一致。 原因2: maven的配置 检查下pom所用的jar包。 mybatis-plus包和mybatis包别搞混了 mybatis -plus的配置为 pom为 原因3: Mapper.xml的位置是在java目录下,而非resource目录下。 此处需加收进行扫描 <resources> <
MinIo升级成https不会?5分钟搞定
Software As Business
05-20 6143
MinIo 升级成https原因怎么做步骤1. 首先保障您的minio http+域名下可以访问。详细就请各位百度其他文章。步骤2. 我是申请了阿里SSL,阿里的每个用户可以一申请20个单域名证书。(申请证书 是因为MinIo升级成https需要),原有证书的可以沿用。步骤3. 我是申请了阿里SSL,阿里的每个用户可以一申请20个单域名证书。步骤4. 打开后重命名,key,和pem;步骤5.放入linux 原因 首先阐述下,minio本身是使用http进行登录的,我们公司因为开发小程序,伟大的微信强制要
关于麒麟系统的兼容性问题
Software As Business
04-06 4960
关于麒麟系统的兼容性问题说明问题解决思路解决方案 说明 笔者一直从事java开发,对于国产操作系统一直不甚了解。(毕竟java跨平台)。前不久一个朋友单位换了国产系统,出现了点问题(门户网站文件无法上传,一些网站也无法下载东西),经过一番排查和解决。现将问题记录下来,希望对遇到的朋友有所帮助 问题 此次是由于朋友单位采购了7,8的门户系统在国产系统上无法上传文件了。 解决思路 1.笔者第一时间用Windows和Linux系统访问了门户网站的文件上传接口。接口200,访问没有任何问题。排除应用问题。 2.笔
Vue 踩坑 tinycme富文本组件在dialog弹窗中的问题解决
Software As Business
07-17 4269
tinycme富文本组件在dialog弹窗中的问题应用场景问题和解决方案1.第二次打开弹窗时,富文本组件中的内容为空原因:此处就不贴图了,原因是在第二次dialog弹窗时,第一次弹窗的tinycme组件未销毁,因此先于第二次dialog出现,而第二次dialog中的传值也就后于富文本组件初始化,也就未被渲染了。解决方案:我的解决方案如下代码,只要保证富文本后于dialog初始化就行了,因此在富文本组件上添加 v-if即可简单解决2.弹窗中的富文本组件的工具栏点击无响应,具体如图原因:tinycme和dial
com.alibaba.fastjson.JSONException: autoType is not support. org.springframework.security.core.authority.SimpleGrantedAuthority 怎么解决
05-31
这个错误是由于 fastjson 序列化时使用了 autoType 类型检查导致的。为了避免安全问题,fastjson 默认禁用了 autoType。如果你确信数据来源可信,可以开启 autoType 支持。 解决方法: 1. 在 Fastjson 的 ParserConfig 中启用 autoType 支持,例子代码如下: ``` import com.alibaba.fastjson.parser.ParserConfig; ParserConfig.getGlobalInstance().setAutoTypeSupport(true); ``` 2. 如果不想启用 autoType 支持,可以使用 JSON.parseObject() 的重载方法,指定要反序列化的对象类型,例如: ``` String jsonStr = "{\"authority\":\"ROLE_ADMIN\"}"; SimpleGrantedAuthority authority = JSON.parseObject(jsonStr, SimpleGrantedAuthority.class); ``` 这样就可以成功反序列化了。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值