jackson.ObjectMapper里enableDefaultTyping方法过期

最新推荐文章于 2024-03-30 16:28:18 发布
最新推荐文章于 2024-03-30 16:28:18 发布
阅读量4.5k 收藏 14
点赞数 15
分类专栏: Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shizheng_Li/article/details/107125663
版权

enableDefaultTyping过期的原因是存在漏洞【阿里云上的漏洞公告】Jackson框架enableDefaultTyping方法反序列化漏洞

漏洞名称

Jackson框架enableDefaultTyping方法反序列化漏洞

官方评级

高危

漏洞描述

该漏洞是由于Jackson框架enableDefaultTyping方法存在Java反序列化代码执行漏洞,攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。

漏洞利用条件和方式

黑客可以远程代码执行来利用该漏洞。

漏洞影响范围

Jackson 2.7 < 2.7.10

这个方法指定序列化输入的类型
解决之前

		ObjectMapper om = new ObjectMapper();
        om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        jackson2JsonRedisSerializer.setObjectMapper(om);
        template.setValueSerializer(jackson2JsonRedisSerializer);

解决方法:使用activateDefaultTyping方法替换掉enableDefaultTyping
替换方法为:

 		ObjectMapper om = new ObjectMapper();
        om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        //om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        om.activateDefaultTyping(LaissezFaireSubTypeValidator.instance ,
                ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY);
        jackson2JsonRedisSerializer.setObjectMapper(om);
阿正的梦工坊
关注
专栏目录
Spring Cache Redis使用Jackson序列化时遇到的问题
Domerobin的博客
04-11 1737
发现redis保存列表数据时,“java.util.List”集合类型丢失,报错com.fasterxml.jackson.databind.exc.MismatchedInputException: Unexpected token (START_OBJECT), expected VALUE_STRING: need JSON String, Number of Boolean that contains type id (for subtype of java.lang.Object)
springboot项目集成redis
Cui6023056的博客
08-25 223
springboot项目集成redis 一、引入依赖 <!-- redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <!-- spring2.X集成redis所需common-po
enableDefaultTyping过期
q18770158319的博客
05-02 1156
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);过期 修改为 objectMapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance , ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY);
jackson.ObjectMapper的一个enableDefaultTyping方法过期
每天进步一点
04-13 1万+
jackson.ObjectMapper的一个enableDefaultTyping方法过期了,项目每次编译时提示,同时过期可能是有漏洞或者效率太低了,总而言之最好处理下 看了下网上也没有解决方案,我这边记录下解决方案。 最好的解决办法就是看过期方法的源码,一般过期方法会给出新的方法来替换过期方法的说明 可以看到@link 已经给出了这个说明。 我这边修改的: ...
RedisTemplate配置的jackson.ObjectMapper的一个enableDefaultTyping方法过期解决
zzhongcy的专栏
04-28 3万+
1、前言 最近升级SpringBoot,从2.1.6版本升级到2.2.6版本,发现enableDefaultTyping方法过期过期了。 该方法是指定序列化输入的类型,就是将数据库的数据安装一定类型存储到redis缓存中。 2、为什么要指定序列化输入类型 2.1、没有指定序列化输入类型 如果注释掉enableDefaultTyping(ObjectMapper.DefaultTyp...
监听redis过期key,做对应业务处理
02-25
在上述代码中,`setExpireKey`方法用于设置Key的值和过期时间,`handleKeyExpirationEvent`方法监听Key过期事件并执行相应的业务处理。需要注意的是,Spring Data Redis默认并不直接支持Key过期事件的监听,而是通过...
SpringBoot使用Redis缓存的实现方法
08-28
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL); serializer.setObjectMapper(objectMapper); template.setValueSerializer(serializer); template.setKeySerializer(new ...
SpringBoot 2.X整合Redis实现缓存,自定义序列化和设置过期时间
qq_24347541的博客
07-11 5422
spring boot 2.x后对于RedisCacheManager进行了调整。 首先pom.xml引入 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId&g...
基于业务定制RedisTemplateConfig对象(拓展)enableDefaultTyping过期
tongshuixu8025的博客
02-23 422
reids配置文件
【2020-06-04】 SpringBoot + Redis 整合 + 配置类+工具类 + 实例, 修改过时方法 enableDefaultTyping,修复LocalDateTime反序列化问题
ybsde博客
04-04 1358
SpringBoot + Redis 整合 + 工具类 + 测试 SpringBoot 操作数据:spring-data jpa jdbc mongodb redis! 说明: 在 SpringBoot2.x 之后,原来使用的jedis 被替换为了 lettuce? jedis : 采用的直连,多个线程操作的话,是不安全的,如果想要避免不安全的,使用 jedis pool 连接 池...
redisTemplate序列化中ObjectMapper.DefaultTyping.NON_FINAL漏洞的解决
m0_37708405的博客
03-27 1万+
第一种方法:使用默认的springboot方法 @Bean(name = "redisTemplate") public RedisTemplate<String, Object> redisTemplate(JedisConnectionFactory factory) { RedisTemplate<String, Object> redisTemplate ...
Redis配置序列化反序列化Jackson ObjectMapper 中的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
流沙QuickSand
10-05 3729
Redis配置序列化反序列化Jackson ObjectMapper 中的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
Redis 遇到enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL)过期
qq_31247573的博客
06-19 3775
项目中 遇到这个 方法过期 查看后 更改 为 activateDefaultTyping(LaissezFaireSubTypeValidator.instance , ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY)
enableDefaultTyping is deprecated这个方法已经被弃用
瞭望的叶子的专栏
03-08 1万+
起因是使用 objectMapper.enableDefaultTyping()方法是发现被弃用。 建议使用 objectMapper.activateDefaultTyping()方法替代它。
enableDefaultTypingjackson反序列化漏洞介绍
zzhongcy的专栏
04-28 5864
最近查看到jackson反序列化漏洞的问题,网上查了查资料,这记录一下 1. DefaultTyping类型 public static enum DefaultTyping { JAVA_LANG_OBJECT, OBJECT_AND_NON_CONCRETE, NON_CONCRETE_AND_ARRAYS, NON_FINAL, EVERYTH...
ObjectMapper
最新发布
m0_71814756的博客
03-30 760
在这个例子中,我们激活了默认的类型信息处理功能,并指定了类型信息的存储方式为非最终(NON_FINAL),这意味着类型信息将被包含在序列化的 JSON 数据中。综上所述,选择合适的序列化器取决于具体的业务需求和数据存储的特点。根据需求选择适当的序列化器可以提高数据的存储效率和操作的便利性。提供了丰富的功能和配置选项,可以根据需求进行定制化设置,用于处理各种复杂的 JSON 数据和对象转换场景。的行为进行灵活的定制,以满足特定的序列化和反序列化需求。类中的方法,用于配置对象序列化和反序列化时的行为。
解决:Unexpected token (START_OBJECT), expected START_ARRAY: need JSON Array to contain As.WRAPPER_ARRA
热门推荐
愿我如星君如月 ... 夜夜流光相皎洁 ...
06-08 3万+
1. redisTemplate 报错: Caused by: com.fasterxml.jackson.databind.JsonMappingException: Unexpected token (START_OBJECT), expected START_ARRAY: need JSON Array to contain As.WRAPPER_ARRAY type information for class java.lang.Object 2. 报错代码行: Obj
import com.fasterxml.jackson.databind.ObjectMapper;
03-29
import com.fasterxml.jackson.databind.ObjectMapper; 是Java中导入com.fasterxml.jackson.databind.ObjectMapper类的语句[^1]。这个类是Jackson库中的一个核心类,用于将Java对象转换为JSON格式的字符串,或将JSON格式的字符串转换为Java对象[^2]。 以下是一个使用import com.fasterxml.jackson.databind.ObjectMapper;的示例代码: ```java import com.fasterxml.jackson.databind.ObjectMapper; public class Example { public static void main(String[] args) { ObjectMapper objectMapper = new ObjectMapper(); // 在这可以使用ObjectMapper类进行JSON和Java对象之间的转换操作 } } ``` 在这个示例中,我们首先导入了com.fasterxml.jackson.databind.ObjectMapper类。然后,我们创建了一个ObjectMapper对象,可以使用它来执行JSON和Java对象之间的转换操作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值