[JAVA安全]JACKSON反序列化

最新推荐文章于 2024-09-30 15:31:49 发布
最新推荐文章于 2024-09-30 15:31:49 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: JAVA安全 文章标签: java servlet 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/128738663
版权
本文详细介绍了JACKSON反序列化的过程,包括DefaultTyping的四个选项,以及@JsonTypeInfo注解的五种模式。通过示例展示了如何在反序列化时指定类信息,并分析了反序列化漏洞的原理。最后,提出了触发反序列化漏洞的条件,强调了安全风险。
摘要由CSDN通过智能技术生成

前言

ackson是一个开源的Java序列化和反序列化工具,可以将Java对象序列化为XML或JSON格式的字符串,以及将XML或JSON格式的字符串反序列化为Java对象。

依赖

<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-databind</artifactId>
    <version>2.7.9</version>
</dependency>
<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-core</artifactId>
    <version>2.7.9</version>
</dependency>
<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-annotations</artifactId>
    <version>2.7.9</version>
</dependency>

JACKSON序列化与反序列化

Jackson提供了ObjectMapper.writeValueAsString()和ObjectMapper.readValue()两个方法来实现序列化和反序列化的功能,不难看出 write就是序列化,而read 就是反序列化。

demo

package JACKSON;


public class User {
    private String username;
    private String password;
    public User() {
    }

    public User(String username, String password) {
        this.username = username;
        this.password = password;
    }

    public String getUsername() {
        return username;
    }

    public String getPassword() {
        return password;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}

测试:

package JACKSON;
import com.fasterxml.jackson.databind.ObjectMapper;
import java.io.IOException;

public class JacksonTest {
    public static void main(String[] args) throws IOException {
        User user = new User("snowy","123456");
        ObjectMapper mapper = new ObjectMapper();
        String json = mapper.writeValueAsString(user);
        System.out.println(json);
        User other = mapper.readValue(json,User.class);
        System.out.println(other);
    }
}

 运行结果

感觉和fastjson 差不多,需要解决多态的问题,在fastjson中引入的是@type解决该问题

Jackson中也有与之对应的方法,Jackson实现了JacksonPolymorphicDeserialization机制来解决这个问题,有两种方法:DefaultTyping和@JsonTypeInfo注解。

DefaultTyping

Jackson提供一个enableDefaultTyping设置,其包含4个值,查看com.fasterxml.jackson.databind.ObjectMapper.DefaultTyping可看到相关介绍信息:

 默认情况下 DefaultTyping是第二个设置,也就是    OBJECT_AND_NON_CONCRETE   

JAVA_LANG_O

最低0.47元/天 解锁文章
snowlyzz
关注
专栏目录
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 3178
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
Java中使用Jackson教程
最新发布
goxingman的博客
09-30 663
3.1 使用时不一定将全部字段和bean对应,比如新建的bean只取json中一个字段也可以,需要加上@JsonIgnoreProperties(ignoreUnknown = true) 注解。3.2 在进行复杂的、多层的网络传输中,为了避免传输中String(多次转义、丢失符号等)出错,建议使用byte[]2.3 Jackson提供了多种方式来控制序列化行为,比如忽略空字段、忽略未知字段等。2.5 Jackson允许我们自定义序列化器来控制特定类型的序列化行为。2.2 灵活地控制JSON输出的格式。
Redis配置序列化反序列化Jackson ObjectMapper 中的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
流沙QuickSand
10-05 3776
Redis配置序列化反序列化Jackson ObjectMapper 中的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
[Java反序列化]—Jackson反序列化
Sentiment的博客
11-12 6831
DefaultTyping类型描述说明属性的类型为Object属性的类型为Object、Interface、AbstractClass属性的类型为Object、Interface、AbstractClass、ArrayNON_FINAL所有除了声明为final之外的属性其实原理上很简单,就是在Jackson进行反序列化时执行了构造器和setter方法,造成恶意代码执行,但其实这种方式也只是本地调试了解原理用,并不适合作为实际攻击方式,真正的攻击还要看其它Jackson的调用链。
enableDefaultTyping的jackson反序列化漏洞介绍
zzhongcy的专栏
04-28 5987
最近查看到jackson反序列化漏洞的问题,网上查了查资料,这里记录一下 1. DefaultTyping类型 public static enum DefaultTyping { JAVA_LANG_OBJECT, OBJECT_AND_NON_CONCRETE, NON_CONCRETE_AND_ARRAYS, NON_FINAL, EVERYTH...
Jackson优雅序列化Java枚举类过程解析
09-07
通过定义通用的枚举接口和自定义Jackson序列化器,我们可以确保枚举类在序列化时不仅包含枚举名称,还包含了与其相关联的代码和描述。这种方法提高了JSON数据的可读性和实用性,同时也为其他枚举类提供了统一的序列...
Java安全漫谈 - 07.反序列化篇(1)1
08-03
这使得Java反序列化更加灵活,但也带来了安全风险,因为恶意用户可以通过构造特殊的序列化数据来触发意想不到的行为,比如执行任意代码。 PHP的序列化和反序列化则相对封闭,开发者无法直接修改序列化数据流,...
解析JavaJackson库中对象的序列化与数据泛型绑定
09-02
JavaJackson库是一个广泛使用的库,它主要用于处理JSON数据,包括对象的序列化和反序列化Jackson库的核心是`ObjectMapper`类,它提供了一种简单的方式来将Java对象转换成JSON格式,反之亦然。在给定的例子中,...
jackson json序列化,反序列化所需jar包
12-08
JacksonJava领域中广泛使用的JSON处理库,它提供了高效的JSON序列化和反序列化功能。在Java应用程序中,我们经常需要将Java对象转换为JSON字符串(序列化)或从JSON字符串恢复Java对象(反序列化),Jackson库就是...
Java Web反序列化网络安全漏洞分析.pdf
03-31
Java Web反序列化漏洞是指在Java Web应用程序中,由于对序列化对象的不当处理,攻击者可以构造恶意的序列化数据,导致程序在反序列化过程中执行非预期的代码,从而引发安全问题。这种漏洞的存在使得攻击者可以绕过...
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 3224
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
Jackson CVE-2021-20190 SSRF
王嘟嘟的博客
03-13 1287
还是黑名单的绕过,等这篇写完我也去混一个试试小于2.9.10.7。
Jackson 反序列化漏洞
qq_50296568的博客
08-07 1467
CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 7978
前言 最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。 漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,
Jackson-databind 反序列化漏洞(CVE-2017-7525、CVE-2017-17485)
zzzzz1284的博客
03-13 1351
CVE-2017-7525、CVE-2017-17485
Jackson反序列化代码执行漏洞
I want to know a little more.
06-09 2409
在我们的一次研究过程中,我们分析了一个使用Jackson库对JSON进行反序列化的应用程序。在分析过程中,我们寻找到一个反序列化漏洞,并可以对反序列化的类进行控制。在本文中,我们将向读者展示攻击者如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)和远程代码执行等攻击。 该研究催生了新的CVE-2019-12384生成,并影响到了一系列RedHat产品: 漏洞攻击条件 正如Jackson在On Jackson CVEs中写到的那样:下面是利用工具需要的要求: (1)应用程序接受由不受信任的客
jackson反序列化漏洞
l_l_c_q的博客
08-10 1244
jackson反序列化漏洞及POC
【fasterxml.jackson】字段反序列化问题Access.WRITE_ONLY
gp_911014的博客
05-30 903
字段反序列化问题Access.WRITE_ONLY
Java安全:深入解析反序列化漏洞
"本文是关于Java安全的系列文章,主要探讨反序列化相关的安全问题。" 在Java编程中,反序列化是一个将字节流转换回对象的过程,这在处理网络通信、持久化存储等场景中非常常见。然而,不恰当的反序列化处理可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值