本文探讨了fastjson低版本存在的安全漏洞,该漏洞允许攻击者通过'@type'指定序列化对象,利用parseObject方法进行反序列化攻击。在fastjson版本低于1.2.51时,如果开启Feature.SupportNonPublicField,私有属性可能被利用。关键在于setValue方法中代理触发get方法执行恶意代码。要触发攻击,服务器需使用受影响的fastjson版本并启用特定功能。
前日看到运维在工作群中发布对发布项目进行 fastjson 的低版本拦截,缘由是发现了一个高危漏洞,提醒我们尽快升级版本。但运维并未表明是哪个漏洞,我便只好自己探索了一下。参考了一下两篇博主的文章,稍作整理。有兴趣的同学可以深入了解下。
Fastjson 1.2.24反序列化漏洞分析www.freebuf.com
那么这个攻击,目前来看,需要被攻击的服务器使用了fastjson的低版本库,并且开启Feature.SupportNonPublicField否则不支持私有属性的传入。
在fastjson版本低于1.2.51会存在这个问题,fastjson允许我们在json字符串中通过“@type” 来指定序列化的对
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
