fastjson string转json_fastjson再次发现漏洞,可能发生OOM导致宕机

最新推荐文章于 2023-08-18 20:56:47 发布
最新推荐文章于 2023-08-18 20:56:47 发布
阅读量421 收藏 1
点赞数
文章标签: fastjson string转json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35097945/article/details/112104383
版权

e54ac483a288e8b73b98f01e1597b170.png

发现漏洞:issue2689

2019年9月2号有开发者在fastjson的仓库提了一个issue:Fastjson新版本解析到特定字符后直接触发异常。

具体问题是:字符串中包含x转义字符时可能引发OOM的问题 ,如:

//Code
String DEATH_STRING = "{"a":"x";
Object obj = JSON.parse(DEATH_STRING);

//OOM
java.lang.OutOfMemoryError: Java heap space

    at com.alibaba.fastjson.parser.JSONLexerBase.putChar(JSONLexerBase.java:5041)
    at com.alibaba.fastjson.parser.JSONLexerBase.scanString(JSONLexerBase.java:889)
    at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:483)
    at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1394)
    at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.
最低0.47元/天 解锁文章
foosa凡
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于 fastJsonOOM事件
悟已往之不谏,知来者之可追
09-12 1230
https://cert.360.cn/warning/detail?id=82a509e4543433625d6fe4361b5802c9 360关于fastjson的告警 https://github.com/alibaba/fastjson/commit/995845170527221ca0293cf290e33a7d6cb52bf7 这是官方修复commit https://githu...
分析FastJson 的最近爆出OOM内存溢出 bug
徐小冠
09-08 1万+
最近接到通知,需要进行升级 (阿里)fastjson 的maven 版本号, 最升级到指定的版本,需要测试发布再次验证 ,啊周末需要加班了. 为什么要进行升级呢,一接到这个通知,我就考虑中,以前是有通知了 不过没有这么急啊,后来其他事情耽搁了,就没有改. 之前一直网络上报出的问题是这样的: fastjson出现高危远程代码执行漏洞,该漏洞fastjson于2017年爆出的远程...
fastjson又被发现漏洞,这次危害可导致服务瘫痪!
朱小厮的博客
09-07 301
点击上方“朱小厮的博客”,选择“设为星标”回复”1024“获取独家整理的学习资料来源:https://tinyurl.com/y53yanrw0x00 漏洞背景2019年...
【Exception】fastjson的toJSONString()导致OOM
非正常人研究室
04-29 2412
现象 线上代码跑一段时间后出现了OOM的问题,经过日志的检查,发现异常出现在fastjson的toJSONString()导致OOM 解决 将toJSONString()方法改成jackson的字符串方法 ObjectMapper objectMapper = new ObjectMapper(); String json = objectMapper.writeValueAsString(obj); 原因 fastjsonjson字符串的时候分配一个byte[],当数据量很大的时候,需要分配
FastJson是如何导致App Crash的
Android技术之家
06-13 420
去年FastJson的严重漏洞 这要从去年6月份的一个高级漏洞说起,阿里云监测到FastJson存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。虽然具体...
fastJSON_v2.3.5_JSON_windows_V2_
10-04
the Polymorphic JSON Serializer .
fastjson,方便json
12-30
实现json换,fastjson json json换,可以帮助开发中涉及json格式处理的程序猿。
fastjson1.2.73___1.2.68
10-22
2020最新的fastjson.jar,阿里开源的,非常好用,里面有两个版本,分别是1.2.68跟1.2.73两个版本,欢迎大家下载
fastjson-1.2.70_JSON_
09-28
json项目引入或者部署json包,应用于无法在线开发的项目
例举fastJson和jacksonjson的区别
10-17
今天小编就为大家分享一篇关于例举fastJson和jacksonjson的区别,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java笔记虾
09-07 1万+
来源:360CERT www.toutiao.com/i6733119825897325068 报告编号:B6-2019-090501 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-09-05 0x00 漏洞背景 2019年9月5日,fastjsoncommit 995845170527221ca0293cf290e33a7d6cb52bf7上提交...
fastjson漏洞导致服务瘫痪,先别忙升级
zxiaofan.com
10-13 1995
1、背景   2019年9月5日,fastjson修复了当字符串中包含\x义字符时可能引发OOM的问题。建议广大用户升级fastjson版本至少到1.2.60。  一个bug这么恐怖,竟然直接OOM,亲身体验下吧。测试代码如下: JSON.parse("[{\"a\":\"a\\x]"); 实验效果:4分钟 堆内存 占用上升达2G;  &em...
记一次由不当使用fastjson序列化导致的bug
qq_23204557的博客
11-15 401
这样一行简单的调用fastjson进行序列化的代码:JSON.toJSONString(policy)导致了空指针异常,因为Policy类有这样一个方法: public boolean isOfficialPolicy() { return this.getParentId() > 0; } 而某些情况下parentId为null。 简单查阅了一些资料,推测根本原因是fastjsonJSON.toJSONString方法使用反射,而像上面这种is开头的方法都被反射处理。找到了原因,也就
Fastjson官方再次披露高危漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
murphysec的博客
05-23 2940
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞可能导致远程服务器被攻击,风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全。 Fastjson 是Java语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞,1.2.80及以下版本在特定条件下可绕过默认autoType关闭限制,攻击远程服务器。 攻击者可利用该漏洞远程执行恶意代码。 漏洞评级:严重
FastjsonJSONObject.toJSON()解析复杂对象发生内存泄漏问题
agg824244的博客
08-21 2236
  这可能fastjson的一个bug,我使用最新版依然存在该问题。   在用做报表功能的时候,发现一旦单元格过多,大概有80-100个单元格,就发生程序假死,CPU持续占用超过90%,内存持续占用超90%的情况,主要是报表页面无法生成,这已经对我的业务产生了影响,不得不解决这个问题。   查看之前的代码逻辑,发现原来的处理方式是直接用    JSONObject.toJ...
解决Fastjson2 oom(Out Of Memory),支持大对象(LargeObject 1G)json操作
最新发布
huang007guo的专栏
08-18 4192
在使用Fastjson中的 JSON.toJSONString时,如果对象数据太大(>64M)出现Out Of Memory,查看源码发现JSONWriter中的判断代码其中maxArraySize默认最大为64M,如果超过了就抛出oom错误如果fastjson过多的使用内存,也可能导致java堆内存溢出,所以这里建议控制好json对象大小,避免过多过大对象做json操作。
如何处理com.alibaba.fastjson.JSON不存在的情况
ryf1574785322的博客
09-28 3010
解决项目com.alibaba.fastjson.JSON不能使用的情况
fastjson 序列化 不包括义字符_fastjson再次发现漏洞可能发生OOM导致宕机
weixin_39692623的博客
11-20 377
发现漏洞:issue26892019年9月2号有开发者在fastjson的仓库提了一个issue:Fastjson新版本解析到特定字符后直接触发异常。具体问题是:字符串中包含x义字符时可能引发OOM的问题 ,如://Code 具体问题从错误中可以找到:fastjsonJSONLexerBase.scanString中遇到x当做16进制处理,没有检查,而如果解析的字符串是以x结尾,或者解析完x字...
java.lang.OutOfMemoryError: Java heap space
热门推荐
daxiong0816的博客
06-14 7万+
主要有3种比较常见的OutOfMemory Error: Java.lang.OutOfMemoryError: Java heap space java.lang.OutOfMemoryError: PermGen space java.lang.OutOfMemoryError: GC overhead limit exceeded
fastjson stringjson
03-16
Fastjson是一个Java语言编写的高性能JSON处理器,可以将字符串换为JSON对象。使用Fastjson将字符串换为JSON对象的方法如下: 1. 导入Fastjson库 在Java项目中使用Fastjson需要先导入Fastjson库,可以通过Maven...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值