fastjson 判断是否包含_从fastjson漏洞谈防御式编程

最新推荐文章于 2023-05-04 21:33:11 发布
最新推荐文章于 2023-05-04 21:33:11 发布
阅读量73 收藏
点赞数
文章标签: fastjson 判断是否包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39626298/article/details/112146359
版权

最近,fastjson又爆出一个漏洞,在解析特殊字符的时候,直接OOM:

3ac83664d5204b8ff3495ae422eb2305.png

首先分析一下整体流程:

在scanString时,会直接读取两个字符:

da01074b6afdbc637d4606a15b242d0b.png

而在next方法中,每次读取都会将bp的值加一(即使没有从输入中读取字符):

public final char next() {
    int index = ++bp;
    return ch = (index >= this.len ? //
          EOI //
          : text.charAt(index));
}

在处理完x之后,继续解析剩下的字符。由于没有更多字符了,所以读到的总是EOI,然后进入如下分支:

if (ch == EOI) {
    if (!isEOF()) {
        putChar((char) EOI);
        continue;
    }
    throw new JSONException("unclosed string : " + ch);
}

本来到这一步,isEOF应该是true了,但是isEOF是这样的:

public boolean isEOF() {
    return bp == len || ch == EOI && bp + 1 == len;
}

刚刚多读了两个字符,已经导致bp(读到的字符数)超过了len(总的字符数),所以这个isEOF永远返回false,进而永远执行putChar。

问题在哪儿

当然,在这儿的问题在于,fastjson没有考虑到x后面直接没有字符的情况。

但是,再多问一句,为什么这种输入会导致这么严重的问题?

一般来说,这种不合理的情况后面,肯定会有很多不合理的小问题。

防御式编程

显然isEOF函数考虑不周到,读取超出了总长度,这种情况显然是EOF了,但是这个函数没有判断。

当然,很多时候,工程师会说这种情况不会发生,但是工程师确实不知道其他工程师会干出什么事来。(另外,在fastjson中,这种情况会发生)

所以,这才有了防御式编程:不要相信其他的工程师

要是当时isEOF是这样的,那这次问题就不会这么严重了:

public boolean isEOF() {
    return bp == len || ch == EOI && bp + 1 >= len;
}

变量应该符合语义

我真的不知道bp是什么的缩写…… 但是通过上面isEOF的判断,bp是已读取的字符数量,这样就可以通过bp和len的关系判断是否EOF了。

但是看下next的实现:

public final char next() {
    int index = ++bp;
    return ch = (index >= this.len ? //
           EOI //
           : text.charAt(index));
}

已读取的字符数量,在没有实际读取字符的情况下,还加一了???变量值不符合语义,维护上迟早会出问题的吧。

fastjson是如何修复的

看下fastjson官方的修复:

0829545884b16c7c3371bb382cfb8041.png

嗯,简单直接。

但是,谁知道还会不会因为bp和len变量的关系导致新的漏洞呢?

weixin_39626298
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
黑盒判断FastJson组件
课嗨教育的专栏
01-26 1327
判断方法个人总结有以下四种: 1. 响应报错 如果站点响应结果中会将代码控制台的错误结果回显,就可以用不闭合括号、引号等方进行报错回显,报错结果中可以通过 类的包名判断是哪个json组件 com.alibaba.fastjson.JSONException com.fasterxml.jackson.databind.xxxxxxxxx 2. 支持额外属性的特性 fastjson支持类对象以外的属性获取,而jackson不支持,可以在测试时可以通过添加额外的参数值,查看是不否报
fastjson 判断是否包含_fastjson 正则拒绝服务简单分析
weixin_39612058的博客
12-18 191
无意翻到b1ue大佬挖 fastjson 的拒绝服务漏洞的文章,于是跟了一下漏洞原理和触发流程,按照自己的理解简单地从结果出发开始分析。以下复现均是在1.2.62,漏洞影响范围 1.2.36~1.2.62漏洞缘由首先要说明的这是一个正则DOS引起的拒绝服务,最根本的原理如下String p = "^[a-zA-Z]+(([a-zA-Z ])?[a-zA-Z]*)*$";String strProp...
fastjson与 jackson 黑盒如何辨别
把梦想放飞在蓝色的天空里...
11-25 837
from:某json 黑盒盲测与白盒审计 - 先知社区 (aliyun.com) fastjson与jackson区别,如果请求包中的 json 如下: {"name":"S", "age":21} 追加一个随机 key ,修改 json 为 {"name":"S", "age":21,"agsbdkjada__ss_d":123} 这里 fastjson 是不会报错的, Jackson 因为强制 key 与 javabean 属性对齐,只能 少不能多 key, 所以会报错,服务器的响应包中多少会有异常.
fastjson 判断是否包含_fastjson漏洞学习分析
weixin_34551573的博客
01-11 1173
0x00前言前面写了fastjson的利用,现在补上fastjson的分析,后面附上探测后端是否使用fastjon的方法(1.2.67)。0x01fastjson基本使用toJSONString()parseObject()这两个函数一个将对象转化为json字符串,一个将json字符串反序列化成对象。image.png一般来说使用第一种方法输出json字符串,这里将第二种方法写出来,是想体现fas...
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
fastjson1.2.73___1.2.68
10-22
2020最新的fastjson.jar,阿里开源的,非常好用,里面有两个版本,分别是1.2.68跟1.2.73两个版本,欢迎大家下载
fastJSON_v2.3.5_JSON_windows_V2_
10-04
标题中的"fastJSON_v2.3.5"指的是一个特定版本的FastJSON库,这是一个流行的开源JSON序列化和反序列化库。FastJSON是用C#编写的,它提供了高效且易于使用的API来处理JSON数据。版本号"v2.3.5"表示这是该库的第2.3.5...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
《深入解析Fastjson-RCE漏洞及其利用》 Fastjson,作为一个高效、强大的Java语言中用于处理JSON数据的库,被广泛应用于各种系统和项目中。然而,任何软件都可能存在潜在的安全隐患,Fastjson也不例外。"fastjson-...
fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_
09-30
Fastjson 1.2.66是该库的一个稳定版本,其核心功能包括JSON字符串与Java对象之间的转换,以及JSON数据的解析与生成。本文将深入探讨Fastjson 1.2.66版本中的关键特性和使用技巧。 1. **JSON字符串与Java对象的转换*...
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
Fastjson-1.2.71版本是一个重要的安全更新,它包含了对过去发现的所有已知漏洞的修复。升级到此版本或更高版本的用户可以有效地保护他们的应用免受利用这些漏洞的攻击。同时,开发者也应该注意,单纯升级到高版本...
代码审计-fastjson的dnslog探测方分析
cdyunaq的博客
12-15 1868
前言 正常测试的时候,发现java后端对json处理都会去测试一下是否存在反序列化,但是后端处理json的组件很多,比如fastjson、jackson、gson等,怎么判断是否使用了fastjson呢? 有一个简便无危害的方,就是通过dnslog来判断。 大佬们讨论的issue 说明 前面我们在分析的时候,会发现很多有一个变量token在进行判断,比如token == 12 或者 token == 14等,那这个token到底代表啥呢?在com.alibaba.fastjson.parser.
fastjson 判断是否包含_Fastjson - 详解SerializeFilter,格化对象字段
weixin_39902608的博客
12-18 395
遇到一个奇葩场景,维护一个老的程序, 应用换了个服务方. 要切接口. 但有以下问题.接口逻辑稍有不同 , 需要自己按原接口文档,重组逻辑.接口字段名,字段类型改动较大. 但还要按原接口文档返回数据给前端.接口逻辑改动还好 , 但这个转字段和类型 ,真的是头大啊.....大小写: abcDef --> AbcDef , ABC-->abc全称,缩写: result --> Res ...
fastJson配置,进行响应之前判断是否有userId字段,进行用户信息查询进行全局用户信息填充返回
外眸的博客
05-04 161
【代码】fastJson配置,进行响应之前判断是否有userId字段,进行用户信息查询进行全局用户信息填充返回。
fastjson版本_Fastjson 漏洞探究
weixin_39842237的博客
11-30 264
前日看到运维在工作群中发布对发布项目进行 fastjson 的低版本拦截,缘由是发现了一个高危漏洞,提醒我们尽快升级版本。但运维并未表明是哪个漏洞,我便只好自己探索了一下。参考了一下两篇博主的文章,稍作整理。有兴趣的同学可以深入了解下。Fastjson 1.2.24反序列化漏洞分析​www.freebuf.comFastJson反序列化漏洞-云栖社区-阿里云​yq.aliyun.com那么这个攻击...
JsonObject判断一个json串中是否含有某个key值
热门推荐
狗尾巴草也开花的博客
01-05 3万+
String s = "{ \"firstName\": \"Brett\", \"lastName\":\"McLaughlin\", \"email\": \"aaaa\" }"; JsonParser parse = new JsonParser(); JsonObject json = (JsonObject) parse.parse(s); S
fastjson,判断某key值是否存在
dear_Alice_moon的专栏
10-09 1万+
fastjson中,若要判断JSONObject中,是否存在某个key值,则可使用 JSONObject.containsKey(...)函数。 fastjson中,JSONObject继承JSON。 下面,是一个小例子,希望能够帮到各位。 package com.test.fastJson; import com.alibaba.fastjson.JSON...
fastjson 判断是否包含_fastjson反序列化时没法判断某个字段是否存在
weixin_39531374的博客
12-18 538
Bean对象:public class Student {private String name;private String gender;public String getName() {return name;}public void setName(String name) {this.name = name;}public String getGender() {return gende...
fastJson过滤字段(深层次)
街角有人祝福,巷口有人哭~
11-01 4950
前言:前后端分离,一般都是返回JSON数据,但是有时候需要返回指定的属性,那么就有如下几种方:   /* * 第一种:在对象响应字段前加注解,这样生成的json也不包含字段。 * @JSONField(serialize=false) * private String name; */   /* * 第二种:在对象对应字段前面加transient,表示该字段不用序...
Fastjson批量检查及一键利用工具
qq_50854662的博客
10-30 3799
0x01 序章 上次讲解过手动利用fastjson,但讲的过于太简单了。根据大家的反应,收集如下几个问题。 1、如何盲打fastjson 2、判断fastjson的指纹 3、各版本payload以及使用ldap模监听。 下面我就一一解答,我只是把我在网上查到的资料消化 后分享给大家,如果有大佬觉得哪里不对,还望不吝赐教。这次还带来了一键利用及检测工具,链接在文末。 注:本文仅用于技术讨论与研究,严禁用于任何违法用途,违者后果自负 0x02 环境搭建 这个不用多说了吧,使用vulhub搭建。 启动fastj
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
最新发布
05-21
1. 扫描源代码,搜索是否存在Fastjson相关的反序列化代码,如果存在,则需要仔细检查反序列化的过程是否安全。 2. 使用工具进行扫描:目前市面上有很多漏洞扫描工具已经支持Fastjson反序列化漏洞的检测,例如:AWVS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值