【Java代码审计】Fastjson代码审计实战

已于 2024-02-20 15:27:45 修改
阅读量551 收藏 8
点赞数 7
分类专栏: 代码审计 文章标签: 网络安全 web安全 java 安全
于 2024-01-24 15:44:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48201589/article/details/135824011
版权

代码审计-漏洞复现

漏洞分析采用的是华夏ERP2.3,
查看pom.xml文件发现fastjson版本1.2.55,该版本存在漏洞,利用DNSlog进行验证。

fastjson涉及反序列化的方法有两种,JSON.parseObject()和JSON.parse(),在代码中直接搜索parseObject。
在这里插入图片描述
先选几个看起来顺眼的
可控参数为Long id,肯定不行,pass
在这里插入图片描述传入参数为String search,有戏,跟进一下
在这里插入图片描述
那么多,慢慢看,可以先选择name,username这样的,前端传入 可控参数几率大一些
在这里插入图片描述search由Map类型传入,跟进一下
在这里插入图片描述
继续跟进
在这里插入图片描述
search,由Map类型 parameterMap 传入,继续跟进
在这里插入图片描述

参数由/{apiName}/list路径下的Constants.SEARCH参数传入,跟进一下在这里插入图片描述
还是参数search,就是路径下/{apiName}/list?search=存在Fastjson漏洞参数传入点
在这里插入图片描述
构造恶意请求
在这里插入图片描述

并进行URL编码
在这里插入图片描述

管他code返回几百,DNSlog收到请求,确认存在Fastjson漏洞
在这里插入图片描述

Hello_Brian
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Android代码-fastjson
08-06
Fastjson is a Java library that can be used to convert Java Objects into their JSON representation. It can also be used to convert a JSON string to an equivalent Java object. Fastjson can work with ...
Java代码审计Java代码审计基础知识「一」
橙留香Park的博客
11-03 3682
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Java代码审计怎么做?
半夏_2021的博客
05-08 3006
Java代码审计怎么做?
Java基础 | 专业排行榜前7的Java代码审计工具
ch98000的博客
09-02 5434
本文给出了上面的所有好的Java审计工具和基本使用方法,和各自特点,并且以上都很好用,都很优秀,如果能好好使用,可以让工作效率大大增加。
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1242
JAVA代码审计篇-SQL注入
Java代码审计(7)Sql注入审计
划水的小白白
01-25 2386
1、基础 1.1 常见注入点 1.2 数据库特性 1.2.1 数据库特定表 1.2.2 注释符 1.2.3 数据库报错 1.2.4 MySQL 5.0 中information_schema表 1.3 SQL注入靶场 1.4 框架 2、JDBC初探 2.1 JDBC执行对象 2.2 Statement 2.3 PreparedStatement(预编译) 2.4 CallableStatement 3、Mybatis框架安全 3.1 MyBatis使用 3.1.1 MyBatis了解 3.1.2 MyBat
java审计-RCE审计
admin741admin的博客
04-13 447
RCE 的中文名称是远程命令执行,指的是攻击者通过Web 端或客户端提交执行命令,由于服务器端没有针对执行函数做过滤或服务端存在逻辑漏洞,导致在没有指定绝对路径的情况下就可以执行命令。RCE 漏洞的原理其实也很简单,就是通过开发人员没有针对代码中可执行的特殊函数或自定义方法入口做过滤,导致客户端可以提交恶意构造语句,并交由服务器端执行。
java代码审计入门-图书馆管理系统项目审计
qq_29616295的博客
07-21 425
代码审计入门
代码审计-JAVAjavaweb代码审计思路
12-11 3139
代码审计-JAVAjavaweb代码审计思路
JAVA审计学习笔记
ai_64的博客
04-24 731
前言: 代码审计涉及知识面较广,一方面要提高自身代码掌控的能力, 另一方面要多总结一些常用的高效审计技巧。 自动化的工具给出可能存在的缺陷清单,人工审计弥补工具的不足。 工具准备: IDEA、 Eclipse、 Sublime Text、 Fortify SCA(基于源代码)、 Findbugs(基于字节码) 工作环境: 1.甲方公司审计专岗, 一般项目数量都比较多,有自己定制的SDL规范扫描...
Web安全Web安全Java代码审计总结
m0_61572518的博客
04-23 3419
网络安全Java代码审计实战》笔记。 一、SQL注入 1.1 常见的sql注入场景 1.预编译错误编程方式 String username = ""; String id = "2"; String sql = "SELECT * FROM user where id = ?"; if(!CommonUtils.isEmptyStr(username)) sql += "and username like '%" + username + "%'"; PreparedStatement pst
FastJson.java
09-04
com.alibaba.fastjson.JSON读写json
fastjson-jar-源代码
02-17
附件包含fastjson用到的jar包及源代码,可供参考
Java FastJson使用教程
10-14
主要介绍了如何使用FastJson,帮助大家将 Java 对象转换为 JSON 格式,感兴趣的朋友可以了解下
Java的JSON处理器fastjson使用方法详解
10-21
下面小编就为大家带来一篇Java的JSON处理器fastjson使用方法详解。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java代码审计入门基础之Spring
qq_43546596的博客
07-24 763
Java代码审计入门基础之Spring ​ 目前大部分的 Java 互联网项目,都是用 SSM(Spring MVC + Spring + MyBatis)框架组合搭建的。 Spring ​ 三层架构 ​ ​ 终于来到Spring框架了,前面讲了Spring MVC和MyBatis框架,现在就讲了Spring框架的作用是什么以及如何在开发中去配置。 ​ Spring框架是Java应用最广的框架,是一个轻量级的开源框架,它的主要理念包括 IoC (Inversion of Control,控.
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 803
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8204
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全风险里的威胁建模
最新发布
qq_41432686的博客
05-02 861
网络安全的本质是攻防双方的对抗与博弈。然而,由于多种攻防之间的不对称性因素存在,使得攻击者总能在对抗过程中抢占先机。为了更好地了解潜在的威胁和缺陷,实现主动式防御,企业需要重新考虑他们的网络防护方法,而威胁建模(Threat modeling)正是网络安全武器库中关键防御武器。
上述代码使用fastjson排序
07-14
如果你想使用fastjson库对JSON对象进行排序,你可以按照以下步骤进行操作: 1. 导入fastjson库的相关类。 2. 将JSON字符串解析为一个JSONObject对象。 3. 获取JSONObject对象的所有键,并将它们存储在一个List中。 4. 使用Collections.sort()方法对键列表进行排序。 5. 创建一个新的JSONObject对象,并根据排序后的键列表,依次从原始JSONObject对象中获取对应的值,并将其放入新的JSONObject对象中。 6. 将新的JSONObject对象转换为JSON字符串。 以下是使用fastjson库实现JSON排序的示例代码: ```java import com.alibaba.fastjson.JSONObject; import java.util.ArrayList; import java.util.Collections; import java.util.List; public class JSONSorter { public static String sortJsonString(String jsonString) { JSONObject jsonObject = JSONObject.parseObject(jsonString); List<String> keys = new ArrayList<>(jsonObject.keySet()); Collections.sort(keys); JSONObject sortedJsonObject = new JSONObject(); for (String key : keys) { sortedJsonObject.put(key, jsonObject.get(key)); } return sortedJsonObject.toString(); } } ``` 你可以调用`sortJsonString`方法并传入需要排序的JSON字符串,它将返回按键排序后的JSON字符串。请确保已经导入了fastjson库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello_Brian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值