fastjson string转json_fastjson再次发现漏洞,可能发生OOM导致宕机

最新推荐文章于 2024-05-28 17:52:05 发布
最新推荐文章于 2024-05-28 17:52:05 发布
阅读量433 收藏 1
点赞数
文章标签: fastjson string转json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35097945/article/details/112104383
版权
本文详细介绍了2019年9月2号在fastjson中发现的一个安全漏洞(issue2689),该漏洞可能导致OOM(内存溢出)并造成系统宕机。问题出在fastjson在解析包含特定x转义字符的字符串时,会进入无限循环。解决方案是增加16进制检查。官方已对此提出建议,并提醒用户尽快升级fastjson,以防止潜在风险。
摘要由CSDN通过智能技术生成

e54ac483a288e8b73b98f01e1597b170.png

发现漏洞:issue2689

2019年9月2号有开发者在fastjson的仓库提了一个issue:Fastjson新版本解析到特定字符后直接触发异常。

具体问题是:字符串中包含x转义字符时可能引发OOM的问题 ,如:

//Code
String DEATH_STRING = "{"a":"x";
Object obj = JSON.parse(DEATH_STRING);

//OOM
java.lang.OutOfMemoryError: Java heap space

    at com.alibaba.fastjson.parser.JSONLexerBase.putChar(JSONLexerBase.java:5041)
    at com.alibaba.fastjson.parser.JSONLexerBase.scanString(JSONLexerBase.java:889)
    at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:483)
    at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1394)
    at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.
最低0.47元/天 解锁文章
foosa凡
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于 fastJsonOOM事件
悟已往之不谏,知来者之可追
09-12 1263
https://cert.360.cn/warning/detail?id=82a509e4543433625d6fe4361b5802c9 360关于fastjson的告警 https://github.com/alibaba/fastjson/commit/995845170527221ca0293cf290e33a7d6cb52bf7 这是官方修复commit https://githu...
再聊聊fastjson的一个漏洞
lucasma的博客
05-03 1441
引言 我曾经写过一篇文章 fastjson远程代码执行漏洞问题分析 文章曾经比较详细分析了fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞的问题。 本文则是针对另一个漏洞的介绍和分析。 官方对这次漏洞的说明是这样的: 近日,阿里云应急响应中心监测到fastjson爆出远程拒绝服务漏洞,攻击者在请求中构造特定json字符串,可远程造成服务器内存和CPU等资源耗尽,最终拒绝服务...
使用fastJSON进行json格式的
最新发布
zyxzyx666的博客
05-28 720
FastJson快速上手
分析FastJson 的最近爆出OOM内存溢出 bug
热门推荐
徐小冠
09-08 1万+
最近接到通知,需要进行升级 (阿里)fastjson 的maven 版本号, 最升级到指定的版本,需要测试发布再次验证 ,啊周末需要加班了. 为什么要进行升级呢,一接到这个通知,我就考虑中,以前是有通知了 不过没有这么急啊,后来其他事情耽搁了,就没有改. 之前一直网络上报出的问题是这样的: fastjson出现高危远程代码执行漏洞,该漏洞fastjson于2017年爆出的远程...
fastjson又被发现漏洞,这次危害可导致服务瘫痪!
朱小厮的博客
09-07 308
点击上方“朱小厮的博客”,选择“设为星标”回复”1024“获取独家整理的学习资料来源:https://tinyurl.com/y53yanrw0x00 漏洞背景2019年...
【Exception】fastjson的toJSONString()导致OOM
非正常人研究室
04-29 2528
现象 线上代码跑一段时间后出现了OOM的问题,经过日志的检查,发现异常出现在fastjson的toJSONString()导致OOM 解决 将toJSONString()方法改成jackson的字符串方法 ObjectMapper objectMapper = new ObjectMapper(); String json = objectMapper.writeValueAsString(obj); 原因 fastjsonjson字符串的时候分配一个byte[],当数据量很大的时候,需要分配
FastJson是如何导致App Crash的
Android技术之家
06-13 445
去年FastJson的严重漏洞 这要从去年6月份的一个高级漏洞说起,阿里云监测到FastJson存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。虽然具体...
fastJSON_v2.3.5_JSON_windows_V2_
10-04
标题中的"fastJSON_v2.3.5"指的是一个特定版本的FastJSON库,这是一个流行的开源JSON序列化和反序列化库。FastJSON是用C#编写的,它提供了高效且易于使用的API来处理JSON数据。版本号"v2.3.5"表示这是该库的第2.3.5...
fastjson,方便json
12-30
实现json换,fastjson json json换,可以帮助开发中涉及json格式处理的程序猿。
fastjson-1.2.70_JSON_
09-28
例如,通过设置`JSONConfig.setSecureMode(true)`,Fastjson在解析时禁用一些可能导致安全问题的功能。 在部署方面,将“fastjson-1.2.70.jar”添加到项目的类路径中即可开始使用。对于无法在线开发的项目,你...
fastjson1.2.73___1.2.68
10-22
2020最新的fastjson.jar,阿里开源的,非常好用,里面有两个版本,分别是1.2.68跟1.2.73两个版本,欢迎大家下载
FastJson对于JSON格式字符串、JSON对象及JavaBean之间的相互换操作
10-19
在Java开发中,处理JSON数据时,FastJson是一个高效且功能丰富的库,由阿里巴巴提供。FastJson支持JSON格式字符串、JSON对象(JSONObject)以及JavaBean之间的相互换,使得数据处理变得简单。以下将详细解释这些...
例举fastJson和jacksonjson的区别
10-17
在Java开发中,将对象换为JSON格式是一个常见的任务,FastJson和Jackson是两个非常流行的JSON库。它们都提供了高效且便捷的API用于JSON序列化和反序列化,但它们在处理方式上存在一些差异。以下是对FastJson和...
xml-to-json.zip_delphi xmljson_xml 2 JSON
09-24
在Delphi端,如果你需要将XML换为JSON而不依赖JavaScript,可以使用如SuperObject或FastJson这样的第三方库,它们提供了在Delphi中解析和生成JSON的强大功能。通过读取XML文件,创建DOM对象,然后使用这些库将DOM...
基于FastJson实现JSON与Java对象
12-21
String UserDoStr = JSON.toJSONString(userDo); //字符串换成为对象 UserDo userDo = JSON.parseObject(UserDoStr, UserDo.class); 3.对象集合与字符串之间的互 //将对象集合换成为字符串 String usersStr =...
通过fastjson实现各种格式与json之间的
03-22
通过fastjson实现了JavaBean,list,MAP,list<String>等格式与json格式之间的换,已经附带fastjson的包,包的版本为fastjson-1.1.36.jar
Fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java笔记虾
09-07 1万+
来源:360CERT www.toutiao.com/i6733119825897325068 报告编号:B6-2019-090501 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-09-05 0x00 漏洞背景 2019年9月5日,fastjsoncommit 995845170527221ca0293cf290e33a7d6cb52bf7上提交...
fastjson漏洞导致服务瘫痪,先别忙升级
zxiaofan.com
10-13 2015
1、背景   2019年9月5日,fastjson修复了当字符串中包含\x义字符时可能引发OOM的问题。建议广大用户升级fastjson版本至少到1.2.60。  一个bug这么恐怖,竟然直接OOM,亲身体验下吧。测试代码如下: JSON.parse("[{\"a\":\"a\\x]"); 实验效果:4分钟 堆内存 占用上升达2G;  &em...
记一次由不当使用fastjson序列化导致的bug
qq_23204557的博客
11-15 431
这样一行简单的调用fastjson进行序列化的代码:JSON.toJSONString(policy)导致了空指针异常,因为Policy类有这样一个方法: public boolean isOfficialPolicy() { return this.getParentId() > 0; } 而某些情况下parentId为null。 简单查阅了一些资料,推测根本原因是fastjsonJSON.toJSONString方法使用反射,而像上面这种is开头的方法都被反射处理。找到了原因,也就
fastjson stringjson
03-16
Fastjson是一个Java语言编写的高性能JSON处理器,可以将字符串换为JSON对象。使用Fastjson将字符串换为JSON对象的方法如下: 1. 导入Fastjson库 在Java项目中使用Fastjson需要先导入Fastjson库,可以通过Maven...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值