fastjson所需的依赖_CVE201914361&CVE201914379 for JacksonDatabind/Fastjson复现总结

最新推荐文章于 2024-05-20 12:42:00 发布
最新推荐文章于 2024-05-20 12:42:00 发布
阅读量580 收藏
点赞数
文章标签: fastjson所需的依赖
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35078410/article/details/112187805
版权
本文总结了对Jackson-Databind的两个RCE漏洞CVE-2019-14361和CVE-2019-14379的复现过程,包括复现环境、payload效果,并展示了如何在Fastjson中利用这些漏洞。虽然实战中应用有限,但提醒开发者注意相关依赖的安全性。
摘要由CSDN通过智能技术生成

440451c5-a431-eb11-8da9-e4434bdf6706.jpeg

前言

本来以为最近没啥有价值的Java Web漏洞,结果于7月30日晚收到了网藤智能安全订阅号的推送,得知Jackson-Databind又出了新的RCE。仔细一看issue,原来是又有人找到了新的gadget。

复现环境准备

1.JDK 8U20

2.所需jar清单如下

jackson-annotations-2.9.8
jackson-core-2.9.8
jackson-databind-2.9.8
ehcache-2.9.1
slf4j-api-1.7.7
logback-core-1.3.0-alpha4
slf4j-simple-1.7.21
javax.transaction_1.0.0.0_1-1

Jackson复现

JacksonTest.java

import com.fasterxml.jackson.databind.ObjectMapper;

import com.fasterxml.jackson.databind.SerializationFeature;

public class JacksonTest {
    

public static void main(String[] args
最低0.47元/天 解锁文章
阿Nel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jackson 最新反序列化漏洞(CVE-2019-14361CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
[红明谷CTF 2021]JavaWeb
b1ackc4t的博客
02-05 553
进入网站 从报错信息和图标能明显看出是一个springboot应用 题目给了/login 我们访问试一试 根据响应结果我们再访问/json试一试 可以看到响应头location的url,能够判断它使用了shiro身份验证框架 我们可以尝试shiro的公开漏洞 CVE-2020-11989 https://blog.csdn.net/weixin_39811856/article/details/109847284 成功访问,但是报错了,这里面对springboot有个技巧 springboot对
Fastjson漏洞之CVE-2017-18349
最新发布
GalaxySpaceX的博客
05-20 1178
Fastjson漏洞之CVE-2017-18349
jackson 序列化_Jackson 反序列化远程代码执行漏洞预警,腾讯御界支持检测
weixin_39782832的博客
12-02 822
【漏洞简介】近日,Jackson官方发布安全issue,披露Jackson存在最新的反序列化远程代码执行漏洞(CVE-2019-14361CVE-2019-14379),可对6月21日披露的CVE-2019-12384漏洞绕过,成功利用可实现远程代码执行。建议Jackson的用户尽快升级至安全版本。【Jackson介绍】Jackson是一个简单基于Java应用库,Jackson可以轻松...
FastJson中JSONObject用法及常用方法总结
weixin_34293059的博客
10-02 1050
本文为博主原创,未经允许不得转载:   最近一直有用到解析各种数据,主要是用FastJson进行数据解析,其中一个重要的类为JSONObject,今天有时间,所以进行总结一下: JSONobject是FastJson提供的对象,在api中是用一个私有的常量map进行封装的,实际就是一个map,只不过FastJson对其进行了封装, 添加了很多方便快捷的属性方法。 private final Ma...
Java反序列化漏洞笔记
战神/calmness的博客
05-10 422
Java反序列化漏洞 序列化与反序列化 定义:内存中的对象与可存储在磁盘上的持久化数据相互转换的过程。 各编程语言都存在: Java: java.io.Serializable接口、fastjsonjackson、gson PHP: serialize()、 unserialize() Python:pickle Java反序列化过程 1. 对象实例化 • sun.misc.Unsafe#allocateInstance • 通过反射调用构造函数 2. 成
Fastjson代码执行漏洞 [CVE-2022-25845].md
07-09
Fastjson代码执行漏洞 [CVE-2022-25845]
fastjson_rce_tool-master.zip
05-14
《深入解析Fastjson RCE漏洞及利用工具》 Fastjson是阿里巴巴开源的一个高性能的JSON库,广泛应用于Java项目中,由于其高效的解析速度和简洁的API设计,深受开发者喜爱。然而,随着其广泛应用,安全问题也逐渐浮出...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON...同时,定期关注并评估所依赖的库的安全公告,也是保障系统安全的重要环节。
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
例如,2017年,Fastjson被发现存在一个名为“Apache Fastjson JSON反序列化远程代码执行”的严重漏洞(CVE-2017-18350)。攻击者可以通过构造恶意的JSON字符串,诱使应用程序反序列化时执行任意代码,从而控制受影响...
美杜莎(Medusa)::cat2:美杜莎(Medusa)是一个红队武器库平台,目前包括扫描功能(200+个突破),XSS平台,协同平台,CVE监控等功能,持续开发中http://medusa.ascotbe.com
02-05
欢迎来到美杜莎 :backhand_index_pointing_right: 关于Medusa 该项目已获得GPL许可,可免费用于非商业用途。 项目开发人员不足。 如果您发现问题或有任何意见,请与我们联系。...# /QuickStart/BashVersion :clipboard:...
FastJson使用和依赖
weixin_44939749的博客
03-17 8535
在main方法中,我们创建了一个User对象,并使用FastJson将它转换为JSON格式的字符串,然后输出这个字符串。FastJson是阿里巴巴提供的JSON框架,可以将Java对象转换为JSON格式的字符串,也可以将JSON格式的字符串转换为Java对象。可以看到,使用FastJson将Java对象转换为JSON字符串非常简单,只要调用JSON类的toJSONString方法即可。通过添加FastJson依赖,我们就可以在Java类中使用FastJson将Java对象转换为JSON格式的字符串。
fastjson使用
weixin_41786712的博客
07-11 1179
fastjson用法
fastjson依赖_Fastjson 简明教程
weixin_39968995的博客
12-19 2049
Fastjson 简介Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。Fastjson 特性提供服务器端、安卓客户端两种解析工具,性能表现较好。提供了 toJSONString() 和 parseObject() 方法...
FastJson的使用
Massimo__JAVA的博客
07-01 1416
FastJson的使用
FASTJSON v2详解
lw的博客
11-26 3736
FASTJSON 2是一个性能极致并且简单易用的Java JSON库。FASTJSON 2是FASTJSON项目的重要升级,和FASTJSON 1相比,性能有非常大的提升,解决了autoType功能因为兼容和白名单的安全性问题。性能极致,性能远超过其他流行JSON库,包括jackson/gson/org.json,性能数据: https://github.com/alibaba/fastjson2/wiki/fastjson_benchmark。
fastjson依赖_Maven项目使用JSON要的依赖
weixin_39885469的博客
12-19 937
json-lib适用于JDK1.5,当使用高版本jdk时可能会报错,不建议使用。json-lib时间有些久远,jar包只更新到2010年org.json用起来有些繁琐Jackson、Gson、FastJson一两句话就可以搞定Json-Libnet.sf.json-libjson-lib2.4jdk15commons-beanutilscommons-beanutils1.7.0commons...
fastjson依赖_Fastjson使用教程
weixin_34152044的博客
01-12 2185
介绍Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。教程maven依赖com.alibabafastjson1.2.12API使用涉及到User和A...
FastJSON依赖
小泽
08-11 2772
<!-- 添加 FastJSON依赖 --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.59</version> </dependency>
fastjson< 1.2.69远程代码执行漏洞cve编号
01-04
fastjson远程代码执行漏洞的CVE编号是CVE-2021-21351。该漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是由于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值