fastjson 检测json格式_BurpSuite插件 -- FastjsonScan(反序列化检测)

最新推荐文章于 2024-06-23 14:22:59 发布
最新推荐文章于 2024-06-23 14:22:59 发布
阅读量1.2k 收藏
点赞数
文章标签: fastjson 检测json格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32200729/article/details/114496604
版权
本文介绍了FastjsonScan,一个用于在BurpSuite中检测Fastjson反序列化问题的插件。作者因为挖洞时希望便捷检测JSON请求,故编写了该插件,旨在简化检测流程。文章包含插件的下载链接、安装步骤,以及使用方法。当扫描目标存在漏洞时,插件会在Request窗口显示payload,否则展示原始请求与响应。
摘要由CSDN通过智能技术生成

你可以因为现任不好而分手,但千万不要认为别人更好,永远有人更好,眼下便是更好。。。

----  网易云热评

一、插件介绍:

一个简单的Fastjson反序列化检测burp插件,我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件

二、下载地址:https://github.com/Maskhe/FastjsonScan

三、安装方法:

1、下载项目中的FastjsonScan.jar文件,在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java)

d920660cc037a8caf6e137bdea434c8d.png

2、将拦截的包发送到 FastjsonScan

460636dbbd5e13908bf367ccf21b73b0.png

3、 如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏洞

最低0.47元/天 解锁文章
翼焉子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson反序列化审计及验证
bluemoon_0的博客
01-10 109
Fastjson反序列化审计及验证
fastjson 检测json格式_欧老师搬砖记系列之一 fastjson切换jackson生产实践
weixin_39553423的博客
12-16 267
一.前言在使用实践中, fastjson其实确实是简便易用,但是无奈会有一定的安全漏洞隐患,为了安全起见,避免作频繁的 fastjson版本升级,因此考虑用安全性更佳的jackson来替代全线应用中的fastjson,其中遇到的问题还相当多,总结归纳下重点有如下几点:应用场景下时间日期的使用场景多,格式多样化,踩坑多fastjson与jackson对于序列化与反序列化,...
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
fastjson 反序列化测试
yuming的专栏
06-04 241
最近在分析Java服务性能时,发现在处理数据时大量解析JSON占用的CPU资源比较大,想看看不同方法之间是否有性能上的差异。编写了一小段代码测试,对比结果基本没有差别。 fastjson库版本和引用如下: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> ...
fastjson1.2.47远程代码执行&JNDI漏洞利用工具
最新发布
归零者的博客
06-23 799
Fastjson是一种Java库,用于处理JSON数据。它提供了一种简单高效的方式,用于将Java对象序列化为JSON,以及将JSON反序列化为Java对象。Fastjson以其高速和低内存消耗而闻名,因此在Java应用中广泛应用于JSON的序列化和反序列化。它支持各种功能,如JSON解析、序列化、反序列化以及对JSON数据的操作。Fastjson被广泛应用于Web应用、移动应用和其他基于Java的系统中,用于处理JSON数据
反序列化利用工具_Fastjson反序列化漏洞的检测和利用
weixin_30758169的博客
01-27 4771
Fastjson是Alibaba开发的,Java语言编写的高性能Json库,号称Java语言中最快的Json库。针对Fastjson反序列化漏洞原理分析和Poc网上以及有很多,本文仅分享如何快速发现Fastjson反序列化漏洞,方便安全测试人员开展安全测试及修补漏洞。文章中涉及到的工具和源码仅供安全测试和学习使用,否则后果自负,与作者无关。0x01反序列化原理Fastjson反序列化,...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
BurpFastJsonScan:一款基于BurpSuite的被动式FastJson检测插件
03-19
插件插件BurpSuite传进来的每个不同的域名+端口的json流量进行一次fastjson dnsLog出网检测 目前的功能如下 dnsLog出网检测(由于使用的是恶意payload所以能出来基本上该站就死了) 编译方法 这是一个java maven...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
对于Fastjson,需要注意其反序列化过程中的安全问题,因为恶意构造的JSON数据可能导致代码执行或信息泄露。 在使用这个BurpSuite插件时,可以先对目标应用进行常规扫描,然后通过插件深度分析日志记录和JSON处理...
fastjson反序列化分析
qq_50854662的博客
10-13 384
fastjson反序列化分析
Fastjson批量检查及一键利用工具
qq_50854662的博客
10-30 3922
0x01 序章 上次讲解过手动利用fastjson,但讲的过于太简单了。根据大家的反应,收集如下几个问题。 1、如何盲打fastjson 2、判断fastjson的指纹 3、各版本payload以及使用ldap模式监听。 下面我就一一解答,我只是把我在网上查到的资料消化 后分享给大家,如果有大佬觉得哪里不对,还望不吝赐教。这次还带来了一键利用及检测工具,链接在文末。 注:本文仅用于技术讨论与研究,严禁用于任何违法用途,违者后果自负 0x02 环境搭建 这个不用多说了吧,使用vulhub搭建。 启动fastj
post请求解析Json格式
半个西瓜的博客
01-04 7556
/** * post请求解析Json格式 * @param request 接口地址 * @return */ public static String postReceive(HttpServletRequest request)throws IOException { ByteArrayOutputStream inBuffer = new ByteArrayOutputStream(); InputStream input = request.getInput
fastjson反序列化复现步骤
小白博客
12-16 4806
环境搭建 靶机 linux 攻击机 windows 恶意代码存放和rmi/ldap的服务机 linux 1.靶机环境搭建 需要搭建docker、docker-compose建议老版本(注意检验docker-compose的版本是否与本机的架构一致)、下载docker-compose到目录/usr/local/bin/后 执行权限分配 sudo chmod 777 docker-compose 然后运行 ln -s /usr/local/bin/docker-...
list json格式_json之自定义JsonSchema
weixin_39540315的博客
12-03 464
json之自定义JsonSchema使用fastjsonschema来校验数据# 导入验证器 import json import fastjsonschema # 读取schema with open('../schema/oneof-schema.json', encoding='utf8') as f: my_schema = json.load(f) # json数据: wit...
BurpSutie拓展插件推荐-漏洞扫描插件
Boom!脑洞大爆炸的博客
07-04 2829
BurpSutie拓展插件推荐-漏洞扫描插件
FastJson对于JSON格式字符串、JSON对象及JavaBean之间的相互转换
浩瀚星空,法力无边;其大无外,其小无内。
10-16 892
fastJson对于json格式字符串的解析主要用到了一下三个类: JSONfastJson的解析器,用于JSON格式字符串与JSON对象及javaBean之间的转换。 JSONObject:fastJson提供的json对象。 JSONArray:fastJson提供json数组对象。 我们可以把JSONObject当成一个Map<String,Object>来看,只是JSONObject提供了更为丰富便捷的方法,方便我们对于对象属性的操作。我们看一下源码。 同样我们可以把JS
fastjson 添加key value_fastjson总结
weixin_39772651的博客
11-22 615
近期做接口自动化时,遇到一些问题,当后端某个查询接口将参数返回给前端接口,另一个接口调用此参数,但里面的参数需要前一个接口进行相应转换且参数类型为jsonjson格式,带有转义字符:;后端返回结果类型:{ "msgList":null, "success":true, "code":"200", "message":"", "data":"{"al":{"A":"a...
Burpsuite工具的使用
weixin_44110913的博客
07-29 2560
目录 Burpsuite Proxy代理模块 Repeater模块(改包,重放) Intruder模块(爆破) Target模块 position模块 Payloads模块 Options模块 一处爆破点  多处爆破点 Spider模块(爬取网站目录) 只拦截特定网站的数据包 Scanner扫描模块 主动扫描 被动扫描 Sequencer模块的使用 Comparer模块的使用 BurpSuite中好用的第三方...
fastjson-1.2.47反序列化
07-27
Fastjson-1.2.47存在反序列化远程命令执行漏洞。在该版本之前的Fastjson版本中,攻击者可以利用特殊构造的json字符串绕过反序列化白名单检测,成功执行任意命令。\[1\]\[2\]然而,在1.2.25版本后,阿里巴巴为了防御Fastjson反序列化漏洞,设置了autoTypeSupport属性默认为false,并增加了checkAutoType()函数,通过黑白名单的方式来进行防御。因此,后续发现的Fastjson反序列化漏洞都是针对黑名单绕过来实现攻击利用的目的。\[3\] #### 引用[.reference_title] - *1* [Fastjson1.2.47反序列化漏洞](https://blog.csdn.net/weixin_51151498/article/details/128548751)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [fastjson漏洞 - Fastjson1.2.47反序列化漏洞](https://blog.csdn.net/weixin_44971640/article/details/128582582)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值