[Java安全]Fastjson>=1.2.36$ref引用可触发get方法分析

最新推荐文章于 2024-12-23 15:20:40 发布
最新推荐文章于 2024-12-23 15:20:40 发布
阅读量2.7k 收藏 2
点赞数 7
分类专栏: 安全学习 # Java代码审计 # 我的JAVA学习之路 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/120275526
版权

文章目录

写在前面

平时我们在处理fastjson反序列化的时候,如果我们想要执行属性的get方法,而如果只有JSON.parse怎么办
我们知道JSON.parse可以套一层parseObject实现对get方法的调用,但说这个也没有必要继续本篇的介绍了,这里介绍另一种,废话不多说开始分析

JSONPath语法

看文档https://goessner.net/articles/JsonPath/,重点关注下这个
在这里插入图片描述

利用演示

人比较不老实,喜欢骚东西,这里执行下命令

public class Test {
   
    private String cmd;

    public String getCmd() throws IOException {
   
        Runtime.getRuntime().exec(cmd);
        return cmd;
    }

    public void setCmd(
最低0.47元/天 解锁文章
代码审计-fastjson1.2.68分析
cdyunaq的博客
03-07 2400
前言 1.2.68有safeMode,但是默认不是开启的,所以还是有风险 分析1 根据网上信息的描述,这次问题点主要是在checkAutoType参数期望类这个地方 看看哪些地方会调用checkAutoType方法并使用到期望类这个参数 现主要是2个地方会使用到 com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#deserialze com.alibaba.fastjson.parser.deser
Fastjson反序列化漏洞复现分析
include_voidmain的博客
03-25 5733
0x01 反序列化过程 fastjson将字符串转换为对象的方法主要有parse和parseObject 其中parseObject也会调用parse来解析json,下面来分析下反序列化过程 首先写一个测试的javabean public class TestBean { public String isMessage; public String message; public int id; public String getMessage() { System.out.println("getMess
最新fastjson-1.2.36.jar
08-11
最新fastjson-1.2.36.jar
fastjson
hqmln的博客
07-27 278
fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开 主要特点: 快速FAST (比其它任何基于Java解析器和生成器更快,包括jackson) 强大(支持普通JDK类包括任意Java Bean Class、Collection、Map、Date或enum) 零依赖(没有依赖其它任何类库除了JDK)  pom文件依赖   ...
又被 fastjson 坑了?它调用了我自定义的 get 方法
明明如月的技术博客
05-18 1606
最近看到又有同学被 fastjson 坑了。该同学在类中自定义了 get 方法,在该 get 方法引用了一个对象,由于某段代码中 “没有用到”该方法就没注入,最后出现了空指针。由于自己确定没有主动调用这个方法,排查了半天,借助 arthas 看 trace 才现这个坑。
FastJsonget方法的问题
酒中仙的专栏
08-01 8501
fastJson转化为字符串时其中的key的决定因素: 在项目过程中使用FastJson现其序列化对象为Json字符串的时候是依赖getXX方法的,即将所有get开头的方法后xx都会变成json字符串中的一个key。即key是依赖get方法。 Gson在这方面则完全是依赖于属性的,和get/set方法无关 问题: 但是却没有提供方法层面对哪些序列化和非序列化的控制(只能作用在属性上进行控...
fastjsonJSON.toJSONString方法序列化时对get方法的调用
咖啡煮码
09-01 1738
toString方法。翻一下fastjson的源码,debug一下,就是在com.alibaba.fastjson.serializer.JSONSerializer#write(java.lang.Object)这个方法里进行了get方法的调用,具体调用位置如下图所示(我用的fastjson版本是1.2.68)到这里可以得出结论,fastjson在序列时会调用被序列化类的所有get方法,如果自己在类中定义了非原有属性对应的getter方法时,要注意判空,不要搞出空指针异常。还是只调用get开头的方法呢?
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2544
Fastjson组件反序列化分析,从基础到RCE的过程笔记
Fastjson 的几个核心方法详解
最新发布
水w的博客
12-23 1891
Fastjson 的几个核心方法详解
FastJsonGet和Set方法
Monster0AZ的博客
05-18 2947
今天写代码的时候遇到了一个错误一个极其简单的错误。 首先说下过程,我希望将后端Controller返回的结果做一个统一封装,返回统一结果集。 在我重写ResponseBodyAdvice中的beforeBodyWrite()方法,准将结果封装到结果集返回,当我写完代码后现返回结果为{}。 于是我各种百度,谷歌,都没找到原因,最后我点进去结果集类中现没有get方法。 解决了一个业务问题后,我得到了另一个技术问题。那就是为什么没get方法获取不到值。 起初我以为是Spring中Bean的原因。是因为我在往前
解决使用fastJson中出现$ref问题(我用了配置的方法,好用)
f45056231p的博客
08-25 4225
首先: 部门与组织是manytoone和onetomany的关系,并且两张表都有自关联,查询部门信息时会级联查询上级部门以及他的组织结构,然后返回json数据时,会出现$ref 即: 为了攻破它,在两张表的onetomany那方,也就是set的那方,加一个fastjson的注解@JSONField(serialize = false) 即: 由于我组织结构那里有多个onetomany,所以我都加上...
使用fastjson序列化对象时,添加getter方法
岳豪的博客
02-24 2095
使用fastjson序列化对象时,添加getter方法后,在序列化的时候,fastjson会先利用反射找到对象类的所有get方法,接下来去掉get前缀,然后首字母小写,作为json的每个key值,而get方法的返回值作为value。添加到json中。 例如:实体类User public class User implements Serializable{ private Long ...
关于FastJSON序列化Bean时对get方法调用的细节
程序员小董的专栏
11-03 366
如果版本低于2.0.35,且bean里面有返回值为void的且get开头的方法就会报错:java.lang.ArrayIndexOutOfBoundsException。使用JSON.toJSONString去序列化Bean的时候。FastJSON会把Bean里面的。另外这里用的FastJSON版本是。
fastjson解析自定义get方法导致空指针问题
衣衫破旧 歌声温柔
02-21 1310
fastjson反序列化解析自定义get方法报错
fastJsonJSONPath使用
热门推荐
只有变秃 才能变强
12-10 3万+
1. JSONPath介绍官网地址: https://github.com/alibaba/fastjson/wiki/JSONPathfastjson 1.2.0之后的版本支持JSONPath。这是一个很强大的功能,可以在java框架中当作对象查询语言(OQL)来使用。2. APIpackage com.alibaba.fastjson;public class JSONPath {
Fastjson和jackson的序列化小知识
chijo的博客
12-21 671
在使用Fastjson和Jackson对对象进行序列化时,针对对象的get方法进行序列化(即使没有显示声明属性),不同的工具处理方式也有所不同,比如会处理掉大小写,下划线,数字,排序等等,如图: public class TestClass { public String get2A(){ return ""; } public String get...
java中解决 “$ref“: “$.value.data[0].node“
weixin_73008443的博客
10-30 866
检查 JSON 数据的结构:确保 JSON 数据中包含了名为 "value" 的键,并且其值是一个对象。使用合适的 JSON 库:Java 有多个流行的 JSON 库可供选择,如 Jackson、Gson、Fastjson 等。执行 JSON Pointer 表达式:使用库提供的方法,根据指定的 JSON Pointer 表达式获取到所需的值。配置 JSON 库以支持 JSON Pointer:有些 JSON 库可能需要进行额外的配置才能正确处理 JSON Pointer 表达式。
Java代码审计——Fastjson TemplatesImpl调用链
王嘟嘟的博客
12-09 2766
0x00 前言 反序列化总纲 除开jdbc调用链,还有一个TemplatesImpl的调用链,这个在CC链中是出现过的。可以参考:调用链 主要的要点在满以下三个变量 _bytecodes _name _tfactory 还有就是调用newTransformer的方法 0x01 调用链 先上poc: final String CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"; ParserConfig conf
FastJson 解析神器JsonPath 使用手册
独泪了无痕
07-24 6786
正如XPath对XML的解析一样,JSONPath的定义是基于fastjsonjson路径解析,对JSON文档的一种解析工具。通过JSONPath可以轻松的对JSON文档获取指定“路径”的数据,在非常复杂的json结构中,对于一些获取和判断操作,不需要层层的去get,可以通过简洁的JsonPath表达式精准找到需要的部分。
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用黑白名单防御机制的绕过,即使autoType关闭也可能导致远程命令执行漏洞。这个漏洞的利用门槛较低,可以绕过默认限制攻击远程服务器,风险影响较大。建议fastjson用户立即采取安全措施来保护系统安全。对受影响的特定依赖≤1.2.80的情况下会有影响。为了解决这个问题,可以采取以下几种安全措施: 1. 升级到最新版本1.2.83,该版本修复了此次现的漏洞。注意,该版本中涉及autotype行为变更,可能在某些场景下存在不兼容情况。如果遇到问题,可以到fastjson的Github页面寻求帮助。 2.1.2.68及之后的版本中引入了safeMode,可以通过配置safeMode来关闭autoType功能。这样无论是白名单还是黑名单,都不支持autoType,可以防止反序列化Gadgets类的变种攻击。但是请注意,在关闭autoType之前要充分评估对业务的影响。具体的配置方法可以参考fastjson的Wiki页面。 3. 考虑升级到fastjson v2版本,可以参考fastjson的Github页面了解相关信息。 总结起来,为了解决fastjson <= 1.2.80 反序列化任意代码执行漏洞,建议采取上述的安全措施,包括升级到最新版本、配置safeMode关闭autoType功能或者考虑升级到fastjson v2版本。这样可以防止漏洞的利用,并提升系统的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [fastjson= 1.2.80 反序列化任意代码执行漏洞](https://blog.csdn.net/qq_18209847/article/details/124952791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值