fastJson漏洞之@type

最新推荐文章于 2024-05-20 12:05:24 发布
最新推荐文章于 2024-05-20 12:05:24 发布
阅读量2.8k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650737/article/details/115627736
版权
本文介绍了如何在1.2.68及以上版本的Fastjson中启用安全模式,以避免解析可能的不安全JSON。步骤包括配置全局模式、JVM启动参数和使用fastjson.properties。重点讲解了如何通过这些方法确保代码的健壮性。
摘要由CSDN通过智能技术生成 
public class User {
    private String name;

    public User() {
        System.out.println("com.server.User()");
    }

    public String getName() {
        System.out.println("getName");
        return name;
    }

    public void setName(String name) {
        System.out.println("setName");
        this.name = name;
    }
}

 public static void main(String[] args) {
        String x = "{\"name\": \"test\"}";
        Object xx = JSON.parse(x);
        System.out.println(xx);
        System.out.println();

        String y = "{\"@type\":\"com.server.User\",\"name\": \"test\"}";
        User yy = (User) JSON.parse(y);
        System.out.println(yy);
        System.out.println();

        String z = "{\"name\": \"test\"}";
        User zz = (User) JSON.parseObject(z, User.class);
        System.out.println(zz);
    }

解决方案:
升级版本至1.2.68以上版本或采用谷歌的gson

1. 在代码中配置:

ParserConfig.getGlobalInstance().setSafeMode(true);

2.加上JVM启动参数:如果有多个包名前缀,可用逗号隔开。

-Dfastjson.parser.safeMode=true

3.通过fastjson.properties文件配置:通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.safeMode=true
这结局或许就完美在可悲
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson
haha1314的博客
08-07 920
一、检测 1.2.67以下的fastjson {"@type":“java.net.Inet4Address”,“val”:“dnslog”} {"@type":“java.net.Inet6Address”,“val”:“dnslog”} 但是有的不成功。 二、利用 Docker搭建环境 2.1生成poc 下面文件为反弹shell,替换成这一句,dnslog检测。 String[] commands = {“ping”, “eqkkk1.dnslog.cn”}; 创建一个文件,TouchFile.jav
Fastjson 1.2.22-24 反序列化漏洞分析
遇事不决冲冲冲
04-29 2326
FastJson在 1.2.22 - 1.2.24 版本中存在反序列化漏洞,主要原因FastJson支持的两个特性: fastjson反序列化时,JSON字符串中的 @type 字段,用来表明指定反序列化的目标恶意对象类。 fastjson反序列化时,字符串时会自动调用恶意对象的构造方法, setter 方法, getter 方法, 若这类方法中存在利用点,即可完成漏洞利用。 主要存在两种利用方式: JdbcRowSetImpl(JNDI) TemplatesImpl(Feature.SupportNonP
fastjson反序列化漏洞复现
m0_70349048的博客
05-20 458
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。更改GET类型为POST。
fastjson 如何忽略@type类型解析
程序员星痕的博客
09-14 3987
最新使用Springboot redisTemplate遇到一个问题,自定义RedisSerializer中使用了fastjson进行序列化,调用JSON.toJSONString函数时添加了SerializerFeature.WriteClassName参数,导致反序列化的时候报错,,原因就是反序列化指定的类类型与序列化的时候不一致,虽然类名一样,但是全路径不一样。通常在不同的系统间进行交互,使用同一个redis集群中的资源时会出该问题。自定义AutoTypeCheckHandler,进行全局配置。
fastjson中@jsonType注解的使用
热门推荐
轻风木竹
06-20 2万+
1.@JSONType的使用 @JSONType(includes = {"name","sex"}) @JSONType(ignores ={"id", "sex"})  放在实体类中就会只装配列举的字段, 2.@JSONField的使用 放在实体类中的某个字段上面 protected class H5PayConfig { @JSONField(name = "a
FastJson之@JSONType注解
张俊杰 的博客
10-14 2093
简介 放在实体类上就会只装配列举的字段或者排除列举的成员变量 @JSONType(ignores = {"id", "sex"}) //不序列化这两个 public class Pojo2 { @JSONType(includes = {"name", "sex"}) //序列化只序列化这两个属性 public class Pojo1 { demo演示 Pojo1 package fastjsonDemo.JSONDemo.demo1.AnnotationDemo.JSONType; import
FastJson 漏洞.md
05-27
#### 二、Fastjson漏洞概述 Fastjson在多个版本中存在安全漏洞,主要集中在反序列化过程中,这些漏洞可能允许远程代码执行(RCE),即攻击者可以通过构造恶意的JSON数据来触发漏洞,进而执行任意代码。此类漏洞一旦...
fastjson1.2.24反序列化RCE
最新发布
06-24
然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本中存在安全风险,其中之一便是“Fastjson 1.2.24反序列化RCE”漏洞。这个漏洞允许攻击者通过精心构造的JSON输入,在目标系统上执行任意代码,从而可能...
fastjson使用
01-21
- Fastjson支持`parseObject(String jsonString, Type type, Feature... features)`方法,通过`Feature`枚举进行性能和功能的调整。 - 如`Feature.UseBigDecimal`可避免浮点数精度问题,`Feature....
阿里巴巴 fastJson jar包
04-04
8. **安全性**:Fastjson在版本更新中不断强化安全特性,修复了一些可能导致安全问题的漏洞,例如SQL注入等,保障了应用的安全性。 在实际项目中,Fastjson可以方便地集成到Spring、MyBatis等框架中,提升数据交换...
Fastjson小于1.2.67 UnSerializable RCE分析研究
12-20
如果你的应用程序正在使用Fastjson且版本低于1.2.67,那么你的系统可能处于风险之中。 **漏洞类型** 这是一个由于反序列化操作引发的RCE漏洞。当Fastjson的`autotype`功能被启用,且应用程序处理不可信的数据时,...
多次触发FastJson漏洞的AutoType机制,你了解吗?
weixin_45701550的博客
12-24 1510
解决问题的方法也很简单,既然@type指定的类型不存在,那么可以在系统中把需要的类型定义出来,不过@type指定的类型,是三方接口系统中定义的,如果把该类型引入到调用方系统中,那么对于调用方的侵入性很大,而且定义这个类型,仅仅为了解决这个问题,有很大解释成本在里面。从内容上看,比较特殊的地方在于多了一个特殊的字段“@type”,经过测试,反序列化报错,的确是因为这个特殊的字段造成的(把@type字段去掉,反序列化可以正常进行)。) fastjson。导致的,那么在序列化时,把类型信息给添加上可以了。
fastjson用法4
qq_26229765的博客
07-23 1014
fastjson注解的简单用法 @JSONType(orders = { "id", "name", "password", "reg", "birthday", "age" }, alphabetic = false) public class Users extends Person { private Integer id; private String name; priv
FastJson反序列化为什么用TypeReference
二月依依的博客
11-02 6997
泛型序列化非TypeReference code: public static void main(String[] args) { Map<String, Person> map = new HashMap<>(16); map.put("one", new Person("zhangsan")); map.pu...
Fastjson反序列化
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4488
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
逆向学习fastjson反序列化始
Summer's blog
07-26 7538
前言 text:json文本数据 len:json文本数据长度 token:代表解析到的这一段数据的类型 ch:当前读取到的字符 bp:当前字符索引 sbuf:正在解析段的数据,char数组 sp:sbuf最后一个数据的索引 hasSpecial=false:需要初始化或者扩容sbuf 参考 http://www.b1ue.cn/archives/184.html ...
springmvc fastjson @Type漏洞解决
06-06
Spring MVC和Fastjson都是常见的Java框架和库,而@Type注解是Fastjson中的一个功能,用于指定反序列化时使用的类型。然而,如果不进行严格的限制,攻击者可以通过构造恶意的JSON数据来执行任意代码,从而导致安全漏洞。 为了解决这个问题,可以采取以下措施: 1.升级Fastjson版本:Fastjson已经针对该漏洞发布了修复版本,例如1.2.62版本及以上。 2.移除@Type注解:如果您的代码中不需要使用@Type注解,则可以将其从代码中移除,以避免潜在的漏洞风险。 3.使用白名单机制:在反序列化时,可以使用Fastjson提供的白名单机制,只允许反序列化特定的类,从而减少风险。 4.使用安全模式:在Fastjson的配置中,可以启用安全模式,以防止恶意代码的执行。 综上所述,通过升级Fastjson版本、移除@Type注解、使用白名单机制或启用安全模式等措施来解决Fastjson @Type漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值