NS-2020-0011fastjson 远程代码执行漏洞

已于 2022-05-24 15:14:48 修改
阅读量1.1k 收藏
点赞数
分类专栏: 漏洞 文章标签: 安全
于 2022-05-24 12:00:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56676115/article/details/124944236
版权
TAG:fastjson、Jackson-databind、远程代码执行
危害等级:高,攻击者利用此漏洞,可造成远程代码执行。

漏洞详情:【漏洞通告】fastjson<=1.2.62远程代码执行漏洞通告

fastjson是阿里巴巴的开源JSON解析库,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行

受影响版本

  • fastjson <= 1.2.62

  • 特定依赖存在下影响 ≤1.2.80

临时处理:【漏洞通告】fastjson<=1.2.62远程代码执行漏洞通告

升级处理:

        升级到1.2.83  https://github.com/alibaba/fastjson/releases/tag/1.2.83

        升级到fastjson v2 Releases · alibaba/fastjson2 · GitHub

勤不了一点
关注
专栏目录
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1368
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Fastjson反序列化漏洞分析
fly小灰灰的专栏
07-30 1万+
1. 漏洞描述 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 影响版本: fastjson <= 1.2.24 2. 漏洞简介  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastj
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
Fastjson存在远程代码执行高危安全漏洞
安全学习之路
03-17 5831
Fastjson安全漏洞通告
Fastjson反序列化
最新发布
Thewei666的博客
10-04 1202
Fastjson反序列化一共有三条利用链反序列化核心反序列化是通过字符串或字节流,利用Java的反射机制重构一个对象。
fastjson漏洞
m0_37180957的博客
05-30 516
对于最新版本的fastjson,是有漏洞的。 版本: com.alibaba fastjson 1.2.68 在序列化的过程中,是存在白名单漏洞的。具体需要关注一下反序列化的过程。 https://cert.360.cn/daily
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3676
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
它又又又来了,Fastjson 最新高危漏洞来袭!
欢迎关注公众号:【码农突围】,回复9999,可以获取一份LeetCode刷题笔记
06-01 843
点击上方“码农突围”,马上关注这里是码农充电第一站,回复“666”,获取一份专属大礼包真爱,请设置“星标”或点个“在看”来源 |https://www.anquanke.com/pos...
2021 HW 漏洞清单汇总 ( 附 poc )
gjgj的博客
04-23 1万+
2021 HW 漏洞清单汇总 2021.4.8——4.22 披露时间 涉及商家/产品漏洞描述 2021/04/08启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(历史漏洞) CNVD-2021-17391 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793 2021/04/08禅道项目管理软件11.6禅道 11.6 sql注...
渗透测试-网络攻防面试题(非常全面,根据自己经验所写,长期更新)
weixin_46626737的博客
01-03 1427
10)mssql,orcale的一些特定函数和闭合方法---------------------------------------------------------------no------------------------------------------------------1)脏牛内核提权----------------------------------------------no----------------------------------------------
2021年关键IT安全漏洞总结:企业系统风险预警
- 不同厂商的产品涉及信息泄露、远程代码执行漏洞,影响网络安全和稳定性。 5. **蓝凌OA、用友NC、天融信、浪潮**: - 各类企业管理软件中的任意写入、反序列化RCE、未授权与越权漏洞,威胁了企业内部数据安全...
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2506
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 340
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
Fastjson反序列化漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。 二、fastjson反序列化漏洞原理 在反序列化的时候,会进入parseField方法,进
Fastjson漏洞
qq_50854662的博客
10-09 5855
Fastjson漏洞
Fastjson 反序列化漏洞(CVE-2017-18349)
qq_68163788的博客
06-19 1017
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值