fastjson safemode_它又又又来了,Fastjson 最新高危漏洞来袭!

最新推荐文章于 2024-07-09 14:25:33 发布
最新推荐文章于 2024-07-09 14:25:33 发布
阅读量243 收藏
点赞数
文章标签: fastjson safemode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39977276/article/details/113895664
版权

4dd4ebd4cf0bb1fc992f675b07fce1f0.png

来源 | https://www.anquanke.com/post/id/207029

0x01 漏洞背景

2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastjson远程代码执行漏洞的风险通告,漏洞等级:高危

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化***者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

截止到漏洞通告发布,官方还未发布1.2.69版本,360CERT建议广大用户及时关注官方更新通告,做好资产自查,同时根据临时修复建议进行安全加固,以免遭受******。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式  等级

威胁等级 【高危】

影响面  【广泛】

0x03 影响版本

Fastjson:<= 1.2.68

0x04 修复建议

临时修补建议:升级到Fastjson 1.2.68版本,通过配置以下参数开启 SafeMode 来防护***:ParserConfig.getGlobalInstance().setSafeMode(true);

safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响

0x05 时间线2020-05-28 360CERT监测到业内安全厂商发布漏洞通告

2020-05-28 360CERT发布预警

0x06 参考链接

【安全通告】Fastjson <=1.2.68全版本远程代码执行漏洞通告:https://cloud.tencent.com/announce/detail/1112

weixin_39977276
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ...
Fastjson漏洞
qq_50854662的博客
10-09 5566
Fastjson漏洞
Fastjson漏洞原理分析
LTianHang的博客
06-04 5083
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
【Linux】升级FastJSON版本-jar
最新发布
m0_52985087的博客
07-09 954
在长期运行的应用服务器上,近期的安全漏洞扫描揭示了fastjson组件存在潜在的安全隐患(FastJSON是一个Java 语言实现的 JSON 解析器和生成器。FastJSON存在远程代码执行漏洞,恶意攻击者可以通过此漏洞远程执行恶意代码来入侵服务器)。为解决这一漏洞,解决方案是对fastjson版本的升级,以增强系统的安全性。为了避免因重新打包整个应用带来的不便与效率损失,我们采取了一种更为灵活的更新策略——直接在生产环境中升级fastjson最新稳定版本。
Fastjson反序列化漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。 二、fastjson反序列化漏洞原理 在反序列化的时候,会进入parseField方法,进
Fastjson系列漏洞实战和总结
qq_50854662的博客
10-09 3002
Fastjson系列漏洞实战和总结
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
首先,确保使用最新版本的Fastjson,因为安全更新通常会修复已知的漏洞。其次,避免直接使用`parseObject()`或`fromJson()`等方法将JSON字符串反序列化为不受信任的数据源。可以使用`safeParseObject()`或配置安全...
fastjson_rce_tool-master.zip
05-14
总的来说,Fastjson RCE漏洞的出现提醒我们在使用任何第三方库时,都应保持警惕,及时更新到最新版本,以降低潜在的风险。同时,掌握相关的漏洞利用工具和测试方法,能帮助我们更好地保护系统安全,防止恶意攻击。
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过更新到1.2.71版本来修复这些已知的安全问题。 Fastjson的安全漏洞通常涉及其自动类型识别机制。这个机制允许JSON字符串...
各个版本fastJson_jar包最新版
10-17
Fastjson是阿里巴巴开发的一款高性能的Java语言JSON库,它的全称是Fast Java Object to JSON and JSON to Java Object,主要用于处理JSON格式的数据。在Java开发中,JSON作为一种轻量级的数据交换格式,广泛应用于...
fastjson safemode_fastjson_safemode
weixin_42556197的博客
01-14 7252
打开SafeMode功能在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。有三种方式配置SafeMode,如下:1. 在代码中配置ParserConfig.getGlobalInstance().setSafeMode(true);注意,如果使用ne...
fastjson开启安全模式
wenlai123456的博客
09-03 2824
方式4:通过fastjson.properties文件配置。方式2:针对某个解析配置。方式3:JVM启动参数。
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2362
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
渗透测试 | FastJson漏洞原理与复现
m0_60571990的博客
03-09 1410
渗透测试 | FastJson漏洞原理与复现
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞
p36273的博客
09-18 1693
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 3120
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 2455
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 2949
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
然而,Fastjson存在反序列化漏洞,黑客可以利用该漏洞实现远程代码执行,因此该漏洞被广泛利用。 检测Fastjson反序列化漏洞的方法: 1. 扫描源代码,搜索是否存在Fastjson相关的反序列化代码,如果存在,则需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值