android fastjson漏洞_使用FastJson的朋友注意了!有危险!

最新推荐文章于 2024-07-13 11:36:32 发布
最新推荐文章于 2024-07-13 11:36:32 发布
阅读量547 收藏
点赞数
文章标签: android fastjson漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39770416/article/details/111533058
版权

Fastjson <=1.2.68版本存在远程代码执行漏洞!!

漏洞详情

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

腾讯安全玄武实验室研究员发现,autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。

漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕过黑名单的限制。

风险等级

高风险

漏洞风险

远程代码执行,获取服务器系统权限

影响版本

Fastjson <= 1.2.68fastjson sec版本 <= sec9android版本不受此漏洞影响修复建议

截止公告发布,官方暂未发布新版本,您可以采取下述缓解方案进行解决。:

升级到最新版本1.2.69或者更新的1.2.70版本。1.2.69: https://github.com/alibaba/fastjson/releases/tag/1.2.69

1.2.79: https://github.com/alibaba/fastjson/releases/tag/1.2.70

升级到Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击.(safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响);有三种方式配置SafeMode:

在代码中配置ParserConfig.getGlobalInstance().setSafeMode(true);加上JVM启动参数-Dfastjson.parser.safeMode=true如果有多个包名前缀,用逗号隔开。通过类路径的fastjson.properties文件配置fastjson.parser.safeMode=true配置参考链接:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

推荐采用 Jackson-databind 或者 Gson 等组件进行替换。详细内容点击查看原文

weixin_39770416
关注
Json学习总结(6)——Fastjson远程代码执行漏洞
科技D人生
07-12 2818
一、修复方法 最近发现fastjson1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29/1.2.30/1.2.31或者更新版本。 1.2.29//1.2.30/1.2.31是在1.2.28版本上修复了一些大家升级过程中遇到的问题的版本,非安全问题,如果升级到1.2.25~1.2.28以及各种sec01版本的,也是没有安全问题的。 1...
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2309
Fastjson组件反序列化分析,从基础到RCE的过程笔记
fastjson jar包_初识Fastjson漏洞(环境搭建及漏洞复现)
weixin_39637260的博客
11-22 326
目前网上的资源整理不是针对入门玩家,都需要一定的java漏洞调试基础,本文从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并复现漏洞触发,拥有属于自己的一套漏洞调试环境。0x01 Fastjson简介Fastjson 是Alibaba的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也...
android fastjson漏洞_Fastjson漏洞分析
weixin_34185033的博客
12-29 328
0x01简介fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。FastJson特点如下:(1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。(2)顾名思义,FastJson操作JSON的速度是非...
fastjson 序列化 不包括转义字符_fastjson黑盒测试与白盒审计
weixin_39988197的博客
11-20 1178
简介与漏洞史java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjsonfastjson是阿里巴巴一个开源的json相关的java library,地址在这里,https://github.com/alibaba/fastjsonFastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对...
FastJson 漏洞.md
05-27
#### 二、Fastjson漏洞概述 Fastjson在多个版本中存在安全漏洞,主要集中在反序列化过程中,这些漏洞可能允许远程代码执行(RCE),即攻击者可以通过构造恶意的JSON数据来触发漏洞,进而执行任意代码。此类漏洞一旦...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
1.2.47版本及其以下,Fastjson存在一个严重的远程代码执行(Remote Code Execution,RCE)漏洞,使得恶意用户有可能通过精心构造的数据输入,执行任意的系统命令,对系统的安全性构成严重威胁。 ## 漏洞背景与...
亲手带你解决Debug Fastjson的安全漏洞
10-15
总之,理解Fastjson的安全漏洞及其解决策略是每个使用Fastjson的开发者必备的知识。通过遵循最佳实践,结合安全更新和严谨的输入验证,我们可以最大程度地降低潜在的风险,确保应用程序的安全性。
fastjson safemode_Fastjson 反序列化漏洞
weixin_33476081的博客
02-06 1434
作者:Longofo@知道创宇404实验室时间:2020年4月27日英文版本:https://paper.seebug.org/1193/Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一...
坑爹fastjson又爆漏洞!这次危害可导致服务瘫痪!,特别是Android不要再用了
Java和Android架构
09-08 693
热文导读|点击标题阅读连色情网站都不敢碰的AI禁区,ZAO正在疯狂试探0x00 漏洞背景2019年9月5日,fastjson在commit 995845170527...
android fastjson漏洞_fastjson反序列化漏洞研究(上)
weixin_39793708的博客
12-19 193
前言最近护网期间,又听说fastjson传出“0day”,但网上并没有预警,在github上fastjson库中也有人提问关于fastjson反序列化漏洞的详情。也有人说是可能出现了新的绕过方式。不管怎样这都激起了我研究该漏洞的欲望,以前也研究过java的反序列化漏洞,但是没有具体研究过fastjson这个,借此机会好好分析下这个洞。正文fastjson主要功能就是实现对象和json字符串相互进行...
Fastjson 漏洞利用技巧
05-08 2833
每次看到json数据包,都难免会想起Fastjson以及它多个版本存在的漏洞。如何实现自动化检测以及简化攻击步骤,从而提升漏洞发现能力,让你更有效率的Tips,在这里和大家分享下。01、自动化漏洞检测一款基于BurpSuite的被动式FastJson检测插件,这个插件会对BurpSuite传进来的带有json数据的请求包进行检测。Github项目地址:https://gi...
Fastjson漏洞利用合集
2301_76786857的博客
03-07 1538
FastJson 是Alibaba 的一款开源Json解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞
hacker远程控制的艺术之fastjson1.2.47漏洞利用
hobby云说
11-06 577
前言 Fastjson能将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。从一出生到现在,几乎凭阿里巴巴温少一己之力在维护着,从1.2.24版本到现在,一直和各路白帽/黑客进行着拉锯战,不同版本有着不同的漏洞利用点,今天我着重复现1.2.47版本的漏洞,本文会大致讲解利用过程和原理,至于源码层次的原理实在太多,之后有空单独出一篇文章。 这里有个小插曲,我复现洞后,告诉开发同学这个消息,被问了句,既然只要升级版本的话,你跟我说就好...
fastjson反序列化漏洞利用
最新发布
weixin_44414845的博客
07-13 900
漏洞利用环境和payload参考君来自:环境搭建注意点:配置一个好的镜像源。fastjson docker环境启动和关闭。
Fastjson反序列化漏洞利用原理和POC
热门推荐
u012990687的专栏
11-30 1万+
0x01 前言 FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。2020年6月1日 fastjson爆发新的反序列化远程代码执行漏洞,fastjso
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 7019
fastjson反序列化漏洞原理及利用
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3500
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值