网络攻防中json序列化漏洞案例,fastjson远程命令执行漏洞原理

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量360 收藏
点赞数 4
分类专栏: Hacker技术提升基地 文章标签: 网络 json 序列化 反序列化 漏洞 案例 fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014374009/article/details/137352415
版权

网络攻防中json序列化漏洞案例,fastjson远程命令执行漏洞原理。
网络攻防中的JSON序列化漏洞是指当应用程序使用JSON(JavaScript Object Notation)格式来序列化和反序列化对象时,由于不当处理或不安全的编程实践,导致攻击者能够执行恶意操作的安全漏洞。这些操作可能包括远程代码执行(RCE)、数据泄露、服务拒绝(DoS)等。以下是对JSON序列化漏洞案例的详细介绍:

漏洞背景

JSON是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。在Web应用中,JSON常用于客户端和服务器之间的数据传输。序列化是将对象状态转换为可存储或传输的格式的过程,而反序列化是相反的过程,它将格式数据转换回对象。

在这里插入图片描述

漏洞原理

JSON序列化漏洞通常发生在以下情况:

  1. 不安全的反序列化
    当应用程序接收到JSON数据并将其反序列化为对象时,如果未正确验证和过滤输入,攻击者可以注入恶意数据,导致不安全的反序列化操作。

  2. 类加载漏洞
    某些编程语言和框架在反序列化时会动态加载类。攻击者可以通过构造特殊的JSON数据来利用这些漏洞,动态加载并执行恶意代码。

  3. 信任边界模糊
    当应用程序信任上游组件或第三方服务提供的数据,而

了解本专栏 订阅专栏 解锁全文 超级会员免费看
代码讲故事
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
简单描述Json反序列化出现漏洞的原因
悟已往之不谏,知来者之可追
12-08 955
背景简介 Json序列化就是将数据对象转化为Json字符串。在序列化过程抛弃了类型信息,所以反序列化时候只有提供类型信息才能准确的反序列化序列化通过会通过网络传输对象,而对象往往有敏感信息,所以序列化常常成为黑客的攻击点,攻击者巧妙的利用反序列化过程构造恶意代码,使得程序在反序列化过程执行任意代码。 Java工程经常使用的Apache Commons Collections、Jacks...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
Fastjson反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
最新发布
小司机的奥拓
04-23 2283
在复现的过程我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是java和javac的版本问题,一定要保证二者都是1.8的版本!其他fastjson漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
FastJSON反序列化 JSON 时存在反序列化漏洞,可以造成远程命令执行漏洞
罗彬桦的博客
08-25 254
解决方法: 1、升级到1.2.48以上的版本 2、拦截请求的`@type`关键字,推荐使用腾讯云网站管家检测到服务器存在漏洞风险 公告: https://github.com/alibaba/fastjson/wiki/security_update_20170315
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Boom!脑洞大爆炸的博客
07-07 780
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Fastjson远程命令执行漏洞总结
weixin_52501704的博客
07-27 1013
json字符串转化为json对象在net.sf.json是这么做的//将json字符串转换为json对象在fastjson是这么做的//将json字符串转换为json对象// Reference需要传入三个参数(className,factory,factoryLocation)// 第一个参数随意填写即可,第二个参数填写我们http服务下的类名,第三个参数填写我们的远程地址// ReferenceWrapper包裹Reference类,使其能够通过RMI进行远程访问。
Fastjson命令执行漏洞复现(1.2.47和1.2.24)
xiaobai_20190815的博客
04-12 1154
一、漏洞描述 fastjson在解析json的过程,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码相关的方法,即可构造出一些恶意利用链 二、影响版本 fastjson <=1.2.48(autoType为关闭状态也可使用) 三、漏洞利用 1、docker 拉取镜像,靶机一键起环境 docker-compose up -d 2、本机编辑恶意java文件,用于反弹shell,监听端口为1234,并编译javac Exploit.j
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化JSON字符串,也可以从JSON字符串反序列化到...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3667
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
bqnagus
10-01 857
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
深入fastjson源码命令执行调试
2201_75353421的博客
06-28 390
本文给出一份fastjson在调试命令执行时的底层过程展现。
FastJson远程命令执行漏洞学习笔记
虚幻私塾
09-04 774
fastjson用于将Java Bean序列化JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2196
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
【网路安全---漏洞复现】Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 1698
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
复现-fastjson远程命令执行漏洞
luson2014的博客
12-12 4218
fastjson远程命令执行漏洞 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。它还可以用于将JSON字符串转换为等效的Java对象,fastjson爆出多个反序列化远程命令执行漏洞,攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议用户尽快升级 fastjson 版本,或者采取其他安全措施来防范该漏洞的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码讲故事

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值