危机再度降临!Fastjson新Bug曝光

已于 2024-02-05 15:29:29 修改
阅读量450 收藏 6
点赞数 5
文章标签: bug java spring boot json
于 2024-02-05 15:23:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43670535/article/details/136042488
版权

前提背景

公司最近线上又出现 OOM 了没想道这次是 fastjson,之前就被他搞过一次了,还来?

Bug 描述:外部接口返回一个 JSON 字符串,要将字符串转成 List 数组,在转换的过程中出现了 OOM

依赖信息 fastjson 2.0.7

<dependency>  
    <groupId>com.alibaba</groupId>  
    <artifactId>fastjson</artifactId>  
    <version>2.0.7</version>  
</dependency>

错误点

返回的字符串缺少右括号 “]” 导致死循环直到OOM

	String json = "[19,20,21";

示例代码

	@Test  
	public void fasJsonBug() {  
	    String json = "[19,20,21";  
	    List<Integer> list = new ArrayList<>();  
	    try {  
	        list = JSONArray.parseArray(json, Integer.class);  
	    }catch (Exception e){  
	        log.error("fasJson error",e);  
	    }  
	}

错误信息

截屏2024-02-05 14.36.30.png

错误分析

执行流程

在这里插入图片描述

JSON. class

parseArray方法

image.png

JSONReader. Class

read方法

image.png

ObjestReaderImplList.class

readObject方法

罪魁祸首就出在这,用 while 循环找 “]” 如果找不到就会一直循环下去,直到内存溢出

image.png

	while(!jsonReader.nextIfMatch(']')) {  
	    Object item;  
	    if (this.itemObjectReader != null) {  
	        item = this.itemObjectReader.readObject(jsonReader, 0L);  
	    } else {  
	        if (this.itemType != String.class) {  
	            throw new JSONException(jsonReader.info("TODO : " + this.itemType));  
	        }  
	  
	        item = jsonReader.readString();  
	    }  
	  
	    ((Collection)list).add(item);  
	    if (jsonReader.nextIfMatch(',')) {  
	    }  
	}

现在我们已经考虑要换别的依赖了

更多有趣的内容请关注我的公众号 程序员林中酒

weixin_43670535
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Fastjson再曝反序列化漏洞,网友:Bugson又来了!
程序猿DD
05-25 303
近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞。漏洞描述Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 au...
真能一快遮百丑?为什么要弃坑FastJson
勇往直前的专栏
04-16 2476
FastJson为何物 首先抄录一段来自官网的介绍:FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 FastJsonJava程序员常用到的类库之一,相信点开这个页面的你,也肯定是程序员朋友。正如其名,“快”是其主要卖点。 真的很快吗? 没有调研就没...
发现fastjson 2.0.32 版本的一个bug---数据转换错误
最新发布
yang11qiang的博客
05-09 1060
最近参与一个的项目,测试同事发现一个数据不对,数据库的数据明明是,但是界面显示的却是,这个差距太大了吧。。。一路跟踪代码没有发现任何问题,最后debug发现,jsonObject.toJavaObject(XX.class) 这行代码之后数据就不对了,不会吧,又是fastjsonbug?之前已经遇到一次,数据量太大,fastjson报空指针的问题(版本升级解决),现在又遇到,,,,老司机第一反应就是,小数嘛,是不是精度问题,但是和。
Fastjson踩“坑”记录和“深度”学习
阿里技术
02-10 2483
本文总结了Fastjson使用时的一些注意事项,并简单分析了Fastjson的底层工作原理。
fastjson1.2.83时间处理的bug
bob71的博客
07-11 2362
fastjson1.2.83发现一个bug:如果一个JSONObject有一个Date值,经过toJSONString()后会变成一个long值,再经过JSONObject.parseArray后得到的时间就不对了。
在使用fastjson中遇到的问题
Luke Ewin的博客
03-19 1390
最近在写一个JavaFx项目的时候使用到了fastjson作为处理json数据的依赖。在其它非JavaFx项目中也使用到了相同版本的fastjson,但是可以正常运行,而在JavaFx项目中却报异常,刚开始以为是我的依赖没有正确导入,然后删了重再导入,结果还是报异常。我创建的是JavaFx项目,不是使用Maven进行依赖管理,因为在idea 2019中创建的JavaFx项目没这个选项。创建完项目后,在项目目录下创建lib目录,然后把包进来,直接复制过来,还要记得右击选择。
2.0.34版本中fastjson2中bug与修复的分析
m0_62804324的博客
12-27 1427
fastjson2中的bug与修复分析
fastjson-2.0.4.jar
06-22
fastjson-2.0.4.jar,阿里巴巴旗下现最流行的json转换工具包。详细操作使用,请参考我的文章链接:https://blog.csdn.net/qq_45978154/article/details/125004445?spm=1001.2014.3001.5502
fastJSON C#的JSON开发包 v2.1.18
09-01
- `history.txt` 文件可能记录了 FastJSON 自版本发布以来的所有变更和改进,包括修复的bug增的功能和性能优化,这对于跟踪库的发展和决定升级时机很有帮助。 8. **项目文档**: - `README.md` 文件通常提供...
fastjson版本库1.2.47
12-25
**Fastjson 深度解析** Fastjson 是阿里巴巴开源的一款高性能的 Java 语言编写的 JSON 库,它具有解析速度快、占用内存少的特点,广泛应用于数据交换和序列化场景。在1.2.47这个版本中,Fastjson 继续优化了性能,...
fastjson版1.2.73.zip
08-12
1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。
fastjson-c3p0:fastjson不出网回显利用
03-19
fastjson-c3p0 fastjson不出网回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
官方最fastjson-1.2.33.jar下载
06-12
官方最fastjson-1.2.33.jar下载
fastjson一个有趣的bug
qq_22017543的博客
07-02 409
fastjson一个有趣的bug 今天下午同事找我看一个bug,看完之后觉得非常有意思,所以准备记录一下。原来的代码我就不贴了,比较复杂。我就贴一个简单的重现代码吧。 //创建jsonarray数组 JSONArray array = new JSONArray(); //第一个json对象 JSONObject com.alibaba.fastjson.JSONObject a = ...
fastjson bug
qq_34002000的博客
03-22 220
public static void main(String args[]) { Student s1 = new Student(); s1.setName("[{\"category\":1,\"iscover\":0,\"url\":\"http://cdzystatic.centalinely.com.cn//Images/20171128/102938_65871f57-8be3-4197-a897-68ef3d84f687.jpg\"},{\"category\":1,\"isc
记一次 fastjson 坑爹 BUG 带来的服务器瘫痪...
xingduan5153的博客
02-03 708
欢迎关注专栏:Java架构技术进阶。里面有大量batj面试题集锦,还有各种技术分享,如有好文章也欢迎投稿哦。 0x00 漏洞背景 2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较大...
解决三更博客项目中出现的小BUG-01-使用fastjson序列化对象问题
m0_63445035的博客
04-11 227
解决三更博客项目中出现的小BUG-01-使用fastjson序列化对象问题
Fastjson各版本漏洞分析(下)
ZL_1618的博客
08-16 506
1.2.44中对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String,>, int)成功拦截分析一下,发现如果开头是[就直接抛出异常。
fastjson版本
12-05
根据提供的引用内容,FASTJSON 2.0是FASTJSON项目的重要升级,目前是最版本。它支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。如果你想使用FASTJSON 2.0,你可以在Maven中央仓库中找到它的最版本。以下是FASTJSON 2.0的Maven依赖: ```xml <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>2.0.0</version> </dependency> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值