fastjson依赖_【高危安全预警】Fastjson反序列化远程代码执行漏洞

最新推荐文章于 2024-07-13 11:36:32 发布
最新推荐文章于 2024-07-13 11:36:32 发布
阅读量165 收藏
点赞数
文章标签: Fastjson 漏洞 远程代码执行 安全更新 防护建议

↑ 点击上方蓝色字关注我们

近日,Fastjson 1.2.47及之前的版本曝出漏洞,存在反序列化远程代码执行漏洞,无需依赖 autotype 开启,意味着默认配置下的 Fastjson 即会受到漏洞影响,当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串数据进行解析时,将可能导致远程代码执行漏洞。

此漏洞为 17 年Fastjson 1.2.24版本反序列化漏洞的延伸利用,危害严重。目前 Fastjson 被广泛使用,为了避免 EXP 流出遭黑客攻击,我们建议立即更新 Fastjson 到当前最新版本1.2.58 。

下图为利用exp进行漏洞程序利用的测试场景。

a208104b3ac859f6fc104608b3ad8bc1.png

安全狗已关注了事件进展,根据最新的研究分析,我们总结出了一些防护建议,敬请用户知晓。

预警报告信息

漏洞名称

Fastjson反序列化远程代码执行漏洞

漏洞影响版本

FastJSON 1.2.30及以下版本

FastJSON 1.2.41至1.2.47版本

漏洞危害等级

高危

厂商是否已发布漏洞补丁

漏洞补丁更新地址

暂无

安全狗总预警期数

90

安全狗发布预警日期

2019年7月11日

安全狗更新预警日期

2019年7月11日

发布者

安全狗

处置方案

1、升级至FastJSON最新版本,建议升级至1.2.58版本。

下载地址

http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.58/

升级方法

您可以通过更新Maven依赖配置,升级FastJSON至最新版本(1.2.58版本),具体参加下文:

 com.alibaba

 fastjson

 1.2.58

2、建议安装有安全狗云御产品的用户,对使用fastjson组件受影响版本的站点增加防护规则。

d4116a96a1aeabcd035208228e7e1e7d.png

weixin_39882317
关注
Fastjson 漏洞利用技巧
05-08 2827
每次看到json数据包,都难免会想起Fastjson以及它多个版本存在的漏洞。如何实现自动化检测以及简化攻击步骤,从而提升漏洞发现能力,让你更有效率的Tips,在这里和大家分享下。01、自动化漏洞检测一款基于BurpSuite的被动式FastJson检测插件,这个插件会对BurpSuite传进来的带有json数据的请求包进行检测。Github项目地址:https://gi...
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2298
Fastjson组件反序列化分析,从基础到RCE的过程笔记
fastjson反序列化漏洞利用
最新发布
weixin_44414845的博客
07-13 875
漏洞利用环境和payload参考君来自:环境搭建注意点:配置一个好的镜像源。fastjson docker环境启动和关闭。
Fastjson漏洞利用合集
2301_76786857的博客
03-07 1513
FastJson 是Alibaba 的一款开源Json解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞
hacker远程控制的艺术之fastjson1.2.47漏洞利用
hobby云说
11-06 574
前言 Fastjson能将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。从一出生到现在,几乎凭阿里巴巴温少一己之力在维护着,从1.2.24版本到现在,一直和各路白帽/黑客进行着拉锯战,不同版本有着不同的漏洞利用点,今天我着重复现1.2.47版本的漏洞,本文会大致讲解利用过程和原理,至于源码层次的原理实在太多,之后有空单独出一篇文章。 这里有个小插曲,我复现洞后,告诉开发同学这个消息,被问了句,既然只要升级版本的话,你跟我说就好...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括JavaBean、集合、日期以及枚举等,并且无任何外部依赖,使得其在实际项目中得到广泛应用。...
fastJson依赖jar包
11-14
超低积分的fastJson依赖jar包,需要用的人儿赶快来下载吧
android fastjson漏洞_使用FastJson的朋友注意了!有危险!
weixin_39770416的博客
12-19 542
Fastjson <=1.2.68版本存在远程代码执行漏洞!!漏洞详情Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。腾讯安全玄武实验室研究员发现,autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与...
Fastjson反序列化漏洞利用原理和POC
热门推荐
u012990687的专栏
11-30 1万+
0x01 前言 FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。2020年6月1日 fastjson爆发新的反序列化远程代码执行漏洞,fastjso
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 7012
fastjson反序列化漏洞原理及利用
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3427
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Fastjson 反序列化漏洞
m0_65150886的博客
10-10 714
Fastjson1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链Fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
Fastjson 漏铜分析和利用
GitChat
08-01 449
Fastjson 已经成为目前主流 JSON 解析器,但是从 2016 年曝出漏洞以来就让大家使用心惊胆颤,最近又曝出其漏洞利用,我们不仅仅要通过升级来避免被攻击,作为一个开发者更要知道漏洞是如何利用的,知其然和其所以然。 通过本 Chat ,你可以学习到: Fastjson 常用 API 介绍 Fastjson 漏洞原理 RMI 基础应用 漏洞实战 本 Chat 适合所有初中高级程序员,适...
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用黑白名单防御机制的绕过,即使autoType关闭也可能导致远程命令执行漏洞。这个漏洞的利用门槛较低,可以绕过默认限制攻击远程服务器,风险影响较大。建议fastjson用户立即采取安全措施来保护系统安全。对受影响的特定依赖1.2.80的情况下会有影响。为了解决这个问题,可以采取以下几种安全措施: 1. 升级到最新版本1.2.83,该版本修复了此次发现的漏洞。注意,该版本中涉及autotype行为变更,可能在某些场景下存在不兼容情况。如果遇到问题,可以到fastjson的Github页面寻求帮助。 2. 在1.2.68及之后的版本中引入了safeMode,可以通过配置safeMode来关闭autoType功能。这样无论是白名单还是黑名单,都不支持autoType,可以防止反序列化Gadgets类的变种攻击。但是请注意,在关闭autoType之前要充分评估对业务的影响。具体的配置方法可以参考fastjson的Wiki页面。 3. 考虑升级到fastjson v2版本,可以参考fastjson的Github页面了解相关信息。 总结起来,为了解决fastjson <= 1.2.80 反序列化任意代码执行漏洞,建议采取上述的安全措施,包括升级到最新版本、配置safeMode关闭autoType功能或者考虑升级到fastjson v2版本。这样可以防止漏洞的利用,并提升系统的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [fastjson <= 1.2.80 反序列化任意代码执行漏洞](https://blog.csdn.net/qq_18209847/article/details/124952791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值