建议将com.alibaba:fastjson升级至1.2.83

已于 2023-07-18 19:05:17 修改
阅读量1.2w 收藏 4
点赞数 3
分类专栏: java 文章标签: 安全 java 开发语言 fastjson
于 2023-02-25 10:52:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010882234/article/details/129212491
版权

问题现象

  • 升级了gradle,改了文件存储位置,项目需要重新构建下载依赖文件,发现fastjson 1.2.66一直下载不下来
  • 一直卡在下载,就想着手动下载下试试,就去了mvnrepository网站
  • 找到fastjson时,发现了fastjson2

Note: This artifact was moved to: com.alibaba.fastjson2 » fastjson2

  • mvnrepository网站提供的最新fastjson版本为2.0.24,而且看了下,最低可用版本为1.2.83
  • 其余更低版本的,有一些风险点漏洞,可能会被利用,对程序或数据造成篡改,具体可以点击进去
    在这里插入图片描述
  • 这里贴其中一个CVE-2022-25845,描述翻译为:1.2.83之前的包com.alibaba:fastjson通过绕过默认的autoType关闭限制,容易受到不受信任数据的反序列化攻击,这在某些情况下是可能的。利用此漏洞可以攻击远程服务器。解决方法:如果无法升级,可以启用[safeMode]
    在这里插入图片描述

升级的好处

  • 升级com.alibaba:fastjson1.2.83版本是个不错的选择,因为它包含了许多修复程序和新特性
  • 1.2.83版中,fastjson修复了几个安全漏洞,并增加了对Java 15的支持
  • 此外,它还改进了算法和性能,提高了序列化和反序列化速度。这些改进使fastjson更加可靠和高效,建议用户升级
  • 请注意,升级到新版本可能需要一些代码更改以确保兼容性
  • 在升级之前,请务必对您的应用程序进行全面测试,确保不会对应用程序造成影响
  • 我自己在项目中升级后,测试没发现问题,基本的序列化、反序列化,包括时间参数、复杂对象,都没发现问题。毕竟我是从 1.2.66升级到1.2.83,都是1.2.x,小版本更新,基本上都是兼容的
  • 很多项目持续了很久,一些jar包依赖的版本,可能是很低版本的,这些版本就可能存在一些被发现和公布的漏洞
  • 如果是部署在互联网的程序,或者本身对安全要求比较高,建议追踪主要jar包的版本变动,主动使用比较新的稳定版本
  • 此次将项目里使用的com.alibaba:fastjson全部升级至1.2.83

fastjson2介绍

  • 针对现在服务器的高内存配置和jdk的高版本发布,使用com.alibaba.fastjson2 » fastjson2也是一个不错的选择,根据官方文档,性能有不小的提升。待其更加稳定时,可以考虑纳入生产项目使用
  • fastjson2是一个高性能的Java JSON处理器,可以将Java对象与JSON之间进行互相转换。它支持Java泛型和自定义序列化,具有比较高的解析速度和较小的内存占用,已经成为了Java开发中最流行的JSON处理库之一
  • fastjson2支持JSONJava之间的双向转换,可以将JSON字符串中的数据转化为Java对象,也可以将Java对象转化为JSON字符串
  • 其具有简单易用的API和良好的性能,可以广泛应用于各种Java应用中,尤其是Web应用的开发中
  • fastjson2在解析JSON字符串时,可以忽略不需要的字段,支持循环引用和类似2017-02-03这样的日期格式
  • 另外,fastjson2还支持JSONP格式的数据传输,可以在Web应用中使用
  • fastjson2在开发Java应用中处理JSON数据方面具有广泛的适用性,可以提供快速、高效、简单的JSON数据解析方案
  • fastjson2fastjson相比,最主要的改进在于其解析性能优化得更好,因为编写了更高效的算法,也修复了一些解析器中的一些错误。因此,在处理大数据量、复杂的JSON数据结构时,fastjson2能够提供更快的速度和更稳定的性能。同时,fastjson2也增强了JSON的验证机制,更严谨地进行数据格式的校验,提高了数据的可靠性和安全性。除此之外,Fastjson2适用于更广泛的Java版本,能够支持Java 15及以上版本
  • 只不过,fastjson2替换fastjson这种比较大的变动,肯定要进行代码适配了
坚持是一种态度
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
fastjson-1.2.83 针对近期阿里fastjson包漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson-1.2.83.jar下载
04-18
fastjson-1.2.83.jar下载,fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也支持从JSON字符串反序列化到JavaBean。fastjson采用全新的JSON解析算法,运行速度极快,超过所有其他同类的JSON库。 fastjson的主要功能有: 1. 速度快:fastjson采用内置的字符解析算法,超过同类其他解析库速度。 2. 支持普通JSON和JavaScript JSON标准:fastjson支持所有JSON标准语法,同时支持JavaScript混入的语法,如 NaN、Infinity、undefined 等。 3. 支持Java Bean:fastjson可以将JSON字符串转换成Java Bean,也可以将Java Bean转换成JSON字符串。 4. 支持泛型:fastjson支持泛型类型的解析和序列化。 5. 支持JSONPath:fastjson支持JSONPath表达式查询。 6. 支持注解:fastjson支持多种注解配置JSON序列化和反序列化。 7. 支持携带格式:f
fastjson升级fastjson2
最新发布
xglinux的博客
03-18 500
替换为 import com.alibaba.fastjson2.JSON;替换为:String json = JSON.toJSONString(this, DateRangeQueryBuilder.TIME_FORMAT);(1) pom修改。
FASTJSON 2.0 新版本
Dily_Su的博客
05-05 9054
FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。
最新版fastjson
07-22
json,fastjson,jsonobject,jsonarray,JSON,最新版本fastjosn
将项目中的阿里的fastjson版本升级到最新版本
Smilelfq的专栏
08-28 9147
百度: 点进去: 复制这段: <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjso...
FastJson
从基础到源码解析的学习记录
05-16 3593
FastJson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBeanFastjson 的优点速度快fastjson相对其他JSON库的特点是快,从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越使用广泛fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。
阿里巴巴fastjson版本从1.2.72升级到2.0.14。开启autoType,不支持Object对象接收强转成Java对象的解决方案。
netuser1937的博客
09-22 8223
阿里巴巴fastjson版本从1.2.72升级到2.0.14。开启autoType,不支持Object对象接收强转成Java对象的解决方案。
fastjson新版本_渗透测试中获取 fastjson 精确版本号的方法
weixin_39875192的博客
11-30 2154
背景上个月天天打游戏一直没更文,也没啥研究成果,这次就随便发点小技巧。没有技术含量,但在某些场景下也是可以运用得到。目前来看是可以影响到最新版本(1.2.73)的。细节之前在找 fastjson 漏洞时看了很多可能存在问题的代码。其中就包括 JavaBeanDeserializer 类。该类有一处值得关注的代码如下图。这里在某个条件成立后就会抛出一个异常。异常的 message 会把当前...
安全问题我们需要重视,立刻升级fastjson2
詹Sir的博客
06-13 969
fastjson、jackson 都支持 AutoType 功能,这个功能在序列化的 JSON 字符串中带上类型信息,在反序列化时,不需要传入类型,实现自动类型识别。很多时候,root对象是可以知道类型的,里面的对象字段是基类或者不确定类型,这个时候不输出root对象的类型信息,可以减少序列化结果的大小,也能提升反序列化的性能。fastjson2 在性能和安全上都得到了很好的提升,开源字节开快速开发平台已经完成了升级,代码改动较大,fork了我们仓库的同学请及时更新,安全无小事,请慎重。
Fastjson 2 来了,性能继续提升,还能再战十年
weixin_45727359的博客
04-23 727
FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。FASJTONS2代码 https://github.com/alibaba/fastjson2/releases/t...
com.alibaba.fastjson.JSONObject(JAR包V1.2.73)
09-29
网上都说fastjson很方便,很多教程说如何使用但是却没有jar包,这个版本是2020年目前最新的fastjson-1.2.73
JSONException:com.alibaba.fastjson.JSONException: expect ‘:’ at 0, actual = 已解决
12-22
expect ‘:’ at 0, actual = com.alibaba.fastjson.JSONException: expect ‘:’ at 0, actual = 原因: 该异常为运行时异常,一定不是语法错误。 意思是JSONEObject转换异常,通常为fromObject() 方法位置报错。 ...
com.alibaba.fastjson 完整jar包,亲测可用
08-24
你一定会感谢我的,因为真的很不错
xml格式报文的拼装,和解析成实体类
热门推荐
闫玉林的博客
03-28 2万+
我们的微信支付,使用的是第三方的支付,平安银行的微信支持渠道。所有的接口请求、应答都是xml格式报文,这样就需要用到xml格式报文的拼装和解析,这儿简单讲一下。
Spring cloud报错com.netflix.hystrix.exception.HystrixRuntimeException
闫玉林的博客
04-12 1万+
现象 生产环境,接口调用失败 feign客户端接口访问超时 查看服务正常,没有报错日志 仔细看了下,没有日志,应该是请求没有到达feign服务提供者 部分日志如下: com.netflix.hystrix.exception.HystrixRuntimeException: IMsgSubmitPersonSynServiceClient#getMsgSubmitPerson(MsgSubmi...
国产数据库人大金仓踩坑记录和函数适配
闫玉林的博客
07-19 1万+
文章目录介绍注意事项(踩的坑)函数适配(持续更新)技巧 介绍 北京人大金仓信息技术股份有限公司(简称:人大金仓),是国产数据管理软件与服务提供商。人大金仓主要服务于电子政务、党务、国防军工、金融、智慧城市、企业信息化等行业。在北京、上海、成都、天津等地设有研发和服务中心,在全国设有分公司、办事处及代理机构,可提供7×24小时的本地化服务 本次测试使用人大金仓V8版本 程序使用java语言,hibernate5 注意事项(踩的坑) 必须针对数据库名称,建立用户名,赋予权限。否则即使default_sch
Java获取当前时区时间LocalDateTime与System.currentTimeMillis
闫玉林的博客
09-04 1万+
全球根据纬度不同,划分不同的时区。对于此时此刻,大家同处同一个时间点,但是,每个时区的时间表示是不同的。System.currentTimeMillis() 获取的当前时间与 格林尼治标准时间1970年零点 相差的毫秒数,与时区无关。LocalDateTime.now()获取的是当前时区的时间,但它的结果值不带时区属性,把它按照UTC时区计算毫秒数,发现刚好相差8小时
ajax请求400报错,Spring拦截器报错:Required String[] parameter 'ids[]' is not present解决方法
闫玉林的博客
06-11 1万+
报错 [org.springframework.web.servlet.mvc.support.DefaultHandlerExceptionResolver]-[WARN] Resolved exception caused by handler execution: org.springframework.web.bind.MissingServletRequestParameterExcep...
com.alibaba.fastjson.JSONException: can not get javaBeanDeserializer. com.alibaba.fastjson.JSONObject
11-23
根据提供的引用内容,com.alibaba.fastjson.JSONException: can not get javaBeanDeserializer. com.alibaba.fastjson.JSONObject通常是由于fastjson无法将JSON字符串转换为Java对象而引起的异常。这可能是由于JSON字符串格式不正确或Java对象的定义不正确导致的。 解决此问题的方法包括: 1.检查JSON字符串是否符合JSON格式要求,可以使用在线JSON验证器进行验证。 2.检查Java对象的定义是否正确,确保Java对象的属性与JSON字符串中的键匹配。 3.尝试使用不同的fastjson版本,或者使用其他JSON解析库。 以下是一个使用fastjson将JSON字符串转换为Java对象的示例代码: ```java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String jsonString = "{\"name\":\"张三\",\"age\":18}"; JSONObject jsonObject = JSON.parseObject(jsonString); String name = jsonObject.getString("name"); int age = jsonObject.getIntValue("age"); System.out.println("name: " + name); System.out.println("age: " + age); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坚持是一种态度

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值