autotype安全 fastjson_Fastjson 远程代码执行漏洞

最新推荐文章于 2024-05-30 09:48:56 发布
最新推荐文章于 2024-05-30 09:48:56 发布
阅读量133 收藏
点赞数
文章标签: autotype安全 fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39605463/article/details/112377512
版权

本文章来源于观星 朋友圈 补天 。

下午15左右收到消息fastjson 爆出全版本存在远程代码执行漏洞

78b0008d8fba7bd953726ff91d930558.png

6e031e4799383ffd9b506bddf448e5d8.gif01fastjson介绍

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。

Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。

Fastjson 源码地址:https://github.com/alibaba/fastjson

Fastjson 中文 Wiki:https://github.com/alibaba/fastjson/wiki/Quick-Start-CN

提供服务器端、安卓客户端两种解析工具,性能表现较好。

提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。

允许转换预先存在的无法修改的对象(只有class、无源代码)。

Java泛型的广泛支持

允许对象的自定义表示、允许自定义序列化类

支持任意复杂对象(具有深厚的继承层次和广泛使用的泛型类型)。

6e031e4799383ffd9b506bddf448e5d8.gif02 漏洞描述

  Fastjson < 1.2.69 版本存在远程代码执行漏洞,可直接获取到服务器权限。该漏洞利用门槛低,风险影响范围较大,强烈建议使用了Fastjson的用户近期持续关注Fastjson官方公告。漏洞成因是Fastjson autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕过黑名单的限制。

6e031e4799383ffd9b506bddf448e5d8.gif03 影响范围 Fastjson < 1.2.69 6e031e4799383ffd9b506bddf448e5d8.gif04 安全建议

  1. 等更新后升级为最新版1.2.69.

  2. 升级到 Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响)

  3. 推荐采用 Jackson-databind 或者 Gson 等组件进行替换。建议您在安装补丁前做好数据备份工作,避免出现意外

weixin_39605463
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson反序列化漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
rocketmq-all-4.9.4-bin-release
07-19
rocketMQ 4.9.4版本
Fastjson漏洞原理分析
LTianHang的博客
06-04 4974
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
探秘Fastjson安全漏洞fastjson-bypass-autotype-1.2.68
最新发布
gitblog_00025的博客
05-30 264
探秘Fastjson安全漏洞fastjson-bypass-autotype-1.2.68 项目地址:https://gitcode.com/Y4er/fastjson-bypass-autotype-1.2.68 在Java世界里,Fastjson是一个广泛使用的JSON库,以其高效和便捷性赢得了开发者们的喜爱。然而,随着技术的发展,安全问题日益凸显。本文将为您揭示一个关于Fastjson的安...
Fastjson漏洞
qq_50854662的博客
10-09 5385
Fastjson漏洞
Fastjson系列漏洞实战和总结
qq_50854662的博客
10-09 2958
Fastjson系列漏洞实战和总结
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson-1.2.25.jar
09-02
这是fastjson第一个修改了autotype的默认选项的版本,默认不开启autotype安全性有了相对明显的提升。 用这个版本的fastjson可以方便做一些相关的安全研究,和以往的版本对比,来寻找升级的地方。
fastjson在一些特殊场景下的漏洞挖掘与利用 .pdf
09-05
2. **代码审计**:对使用Fastjson代码进行深度审计,查找可能的不当使用,如过度信任用户输入,未正确配置autotype等。 3. **强化WAF规则**:根据新发现的Fastjson漏洞,及时更新WAF的检测规则,提高对这类攻击的...
渗透测试 | FastJson漏洞原理与复现
m0_60571990的博客
03-09 1393
渗透测试 | FastJson漏洞原理与复现
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2256
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞
p36273的博客
09-18 1667
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
Fastjson 反序列化漏洞
m0_65150886的博客
10-10 626
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链Fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
FastJsonAutoType反序列化漏洞
qq_53058639的博客
02-20 1314
Fastjson
fastjson反序列化漏洞
qq_63980959的博客
03-01 1254
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。​ fastjson反序列化与weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
fastjson远程代码执行漏洞
网安君的博客
03-29 5400
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
fastjson远程代码注入特征防御
07-28
然而,由于fastjson的某些特性,存在远程代码注入的安全风险。为了防止这种风险,以下是一些特征防御的建议: 1. 更新fastjson版本:及时更新fastjson库到最新版本,因为开发人员经常修复已知的安全漏洞。 2. 配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值