Fastjson漏洞

最新推荐文章于 2024-05-30 09:48:56 发布
最新推荐文章于 2024-05-30 09:48:56 发布
阅读量5.1k 收藏 7
点赞数 1
分类专栏: 初学者常见问题 文章标签: json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43873557/article/details/113732612
版权

➢ Fastjson概述
Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到JavaBean。

➢历史漏洞
Fastjson <=1.2.24 反序列化远程命令执行漏洞
Fastjson <=1.2.41 反序列化远程命令执行漏洞
Fastjson <=1.2.42 反序列化远程命令执行漏洞
Fastjson <=1.2.43 反序列化远程命令执行漏洞
Fastjson <=1.2.45 反序列化远程命令执行漏洞
Fastjson <=1.2.47 反序列化远程命令执行漏洞
Fastjson <=1.2.62 反序列化远程命令执行漏洞
Fastjson <=1.2.66 反序列化远程命令执行漏洞

➢ Fastjson1.2.47反序列化漏洞
1.2.24:fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
1.2.47:fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

➢ Fastjson寻找
fastjson的作用是用于对JSON格式的数据进行解析和打包,所以出现json格式的地方就有可能使用了fastjson

最低0.47元/天 解锁文章
低头观自在
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞
p36273的博客
09-18 1665
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
fastjson反序列化漏洞
qq_63980959的博客
03-01 1252
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。​ fastjson反序列化与weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
探秘Fastjson安全漏洞fastjson-bypass-autotype-1.2.68
最新发布
gitblog_00025的博客
05-30 262
探秘Fastjson安全漏洞fastjson-bypass-autotype-1.2.68 项目地址:https://gitcode.com/Y4er/fastjson-bypass-autotype-1.2.68 在Java世界里,Fastjson是一个广泛使用的JSON库,以其高效和便捷性赢得了开发者们的喜爱。然而,随着技术的发展,安全问题日益凸显。本文将为您揭示一个关于Fastjson的安...
【java安全】FastJson反序列化漏洞浅析
leekos的博客,分享web安全相关知识~
08-24 1588
前面我们学习了RMI和JNDI知识,接下来我们就可以来了解一下FastJson反序列化了FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以将JSON字符串反序列化到JavaBean。
FastJson中AutoType反序列化漏洞
qq_53058639的博客
02-20 1313
Fastjson
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 2467
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson漏洞环境
01-12
在给定的“fastjson漏洞环境”中,我们关注的是三个特定版本的 Fastjson 反序列化漏洞:1.2.67、1.2.66 和 1.2.62。 **一、Fastjson 反序列化漏洞** 1. **什么是反序列化漏洞?** 反序列化是将已序列化的数据恢复...
FastJson 漏洞.md
05-27
FastJson 漏洞.md
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
Fastjson扫描测试工具.rar
09-08
在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析
Fastjson1.2.47以及之前的所有版本
10-26
Fastjson1.2.47以及之前的所有版本
FASTJSON反序列化漏洞合集分析小记(一)
lmh666888的博客
06-26 1720
FASTJSON反序列化漏洞合集分析小记
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6911
fastjson反序列化漏洞原理及利用
Fastjson 对象序列化漏洞的分析和解决方案
weixin_43263566的博客
02-12 721
常见漏洞Fastjson
Fastjson漏洞详情
GyaoG的专栏
05-30 5542
一、fastjson漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,是目前Java语言中最快的JSON库。由于Fastjson其优越的性能,被广泛使用在缓存序列化、协议交互等多种应用场景。然而在2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认aut...
fastjson漏洞——举例说明漏洞以及原理分析——一看就会
可乐多点冰的博客
09-01 4875
最近公司一直说fastjson漏洞,比较很严重,要换成其他的json工具。怀着好奇的心情去看了一些文章,现在简单的记录一下。 1、漏洞分析 总体而言是一个叫做autoType的在搞事情。那么autoType是什么呢? 我们写一段简单代码演示一下: public class JSONController { public static void main(String[] args) throws ParseException { Province province = new
Fastjson漏洞的识别与DNSlog回显
tpaer的博客
09-02 4631
Fastjson RCE漏洞实战POC探测方式
fastjson 漏洞
09-02
你想了解有关 fastjson 漏洞的信息吗?fastjson 是一个流行的 Java JSON 库,但在过去的一段时间里,它曾经存在一些安全漏洞。其中最著名的是 fastjson 1.2.24 版本以下的版本中的反序列化漏洞(CVE-2020-1948),该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值