fastjson漏洞——举例说明漏洞以及原理分析——一看就会

最新推荐文章于 2024-09-20 17:27:13 发布
最新推荐文章于 2024-09-20 17:27:13 发布
阅读量5k 收藏 13
点赞数 5
分类专栏: 小小小知识点 文章标签: 安全 json java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013541707/article/details/108351310
版权
本文介绍了fastjson的autoType漏洞,分析了autoType的工作原理,通过代码示例展示了如何利用该特性进行反序列化攻击。内容包括漏洞的利用方式,如构造特定json字符串以执行恶意代码,以及fastjson后续修复措施,如关闭autotype默认支持并引入黑白名单防御机制。文章旨在帮助读者理解fastjson的安全隐患及其防范策略。
摘要由CSDN通过智能技术生成

最近公司一直说fastjson有漏洞,比较很严重,要换成其他的json工具。怀着好奇的心情去看了一些文章,现在简单的记录一下。

1、漏洞分析

总体而言是一个叫做autoType的在搞事情。那么autoType是什么呢?
我们写一段简单代码演示一下:

public class JSONController {
   

    public static void main(String[] args) throws ParseException {
   

        Province province = new Province();
        province.setProvincialCapital("wuhan");
        province.setCityNum(12);

        Nation nation = new Nation();
        nation.setName("傣族");
        nation.setProvince(<
最低0.47元/天 解锁文章
可乐多点冰
关注
专栏目录
编程实践精华总结集锦系列1: SpringBoot/Maven/IDEA/Java/Kotlin/Redis等等
AI天才研究院
07-24 1万+
UNIX 设计哲学:Do one thing and do it well一次只做一件事,并做到极致。《UNIX编程艺术》一书,提出的17条编程原则,经过时间和实践的锤炼,发展成为Unix...
Fastjson反序列化漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2504
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
序列化方式二——JSONFastjson
最新发布
zhouhengzhe的博客
09-20 1607
允许用户自定义序列化器,用于控制特定类型的序列化过程。用户需要实现接口,并重写write方法。@Data// 构造方法、getter和setter省略@Override// 自定义序列化逻辑// 输出自定义序列化后的结果专门用于处理将 JSON 数据反序列化为 Java 对象的过程。不过,需要注意的是,对于大多数开发者而言,直接使用进行自定义反序列化可能不是最常见的做法,因为 Fastjson 提供了更高级别的抽象(如@JSONField注解、Feature。
Fastjson漏洞
qq_50854662的博客
10-09 5852
Fastjson漏洞
fastjson漏洞
m0_37180957的博客
05-30 516
对于最新版本的fastjson,是有漏洞的。 版本: com.alibaba fastjson 1.2.68 在序列化的过程中,是存在白名单漏洞的。具体需要关注一下反序列化的过程。 https://cert.360.cn/daily
一到两年工作经验的看完这些面试轻松拿offer
NNCC1022的博客
12-28 867
java经常遇到的基础面试题
看完这篇,面试再也不怕遇到网络协议和Netty相关的问题了
wzljiayou的博客
12-08 3641
文章目录网络协议TCP三次握手为什么 TCP 握手需要三次TCP四次挥手为什么TCP的挥手需要四次为什么TIME-WAIT等待的时间是 2MSL(最大报文段生存时间)Netty 网络协议 TCP三次握手 TCP是面向连接的通信协议,面向连接是指在数据传输开始之前需要先建立连接,而TCP建立连接是通过三次握手进行的。在网络编程中,三次握手过程是由客户端执行connect连接来触发的,上图三次握手过程: 第一次握手:客户端发起连接请求报文,首先将标志位 SYN 置为 1,同时设置随机初始化序号seq=J,
红队专题-抓包工具-Burpsuite-fiddler-Wireshark
aming小老弟
12-13 4568
如果Java可运行环境配置正确的话,当你双击burpSuite.jar即可启动软件,这时,Burp Suite自己自动分配最大的可用内存,具体实际分配了多少内存,默认一般为64M。当我们在渗透测试过程,如果有成千上万个请求通过Burp Suite,这时就可能导致Burp Suite因内存不足而崩溃,从而丢失渗透测试过程中的相关数据,这是我们不希望看到的。捕获的数据包括有效载荷值和位置,HTTP状态代码,响应计时器,cookie,重定向数以及任何已配置的grep或数据提取设置的结果。
Java反序列化漏洞总结【fastjson为例】
z69183787的专栏
01-06 1491
前言 前段时间FastJson被曝高危漏洞,其实之前也被报过类似的漏洞,只是项目中没有使用,所以一直也没怎么关注;这一次刚好有项目用到FastJson,打算对其做一个分析漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了[Fastjson远程代码执行漏洞](https://cert.360.cn/warning/detail?id=af8fea5f165df6198033de208983e2ad)的风险通告,漏洞等级:高危。Fastjson是阿里巴巴的开源JSON解析库,
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
FastJSON安全漏洞
隐心咒Amor的博客
11-22 207
安全漏洞
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3647
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Fastjson反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
fastjson版本_Fastjson被曝出“高危”远程代码执行漏洞
weixin_39612058的博客
11-30 138
5月28日,360网络安全响应中心(360-CERT)发布“Fastjson远程代码执行漏洞通告”。通告称,Javafastjson <= 1.2.68 版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。360网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。 据悉,该漏洞的影响版本为fastjson <=1.2.68和fastjson sec版本 <= sec...
Fastjson漏洞原理分析
LTianHang的博客
06-04 5339
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
FastJson 反序列化漏洞原理分析
buffedon的博客
08-01 9084
FastJson 反序列化漏洞原理分析FastJson 简介漏洞原理FastJson 序列化操作序列化反序列化调用链分析原理利用过程分析RMI 的实现JNDI服务器端代码构造总结1. fastjson 利用过程2. 恶意类怎么上传到服务端3. fastjson rce的原理参考 FastJson 简介 fastjson框架下载:https://github/alibaba/fastjson fastjson-jndi 下载:https://github.com/earayu/fastjson_jndi_po
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 340
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
fastjson漏洞频发:AutoType特性深入剖析与安全升级
Fastjson作为阿里巴巴的知名开源JSON解析库,在Java开发中广泛应用,然而近期却频繁曝出安全漏洞,引起了开发者们的关注。这些漏洞主要源于其AutoType特性,这个特性原本是为了提供便利,但在实际使用过程中可能导致...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值