使用Jackson替换FastJson的一个小BUG
在公司开发系统时使用了FastJson来转换对象和json字符串,版本为1.1.43,在一段时间后发现报错,上网一查发现阿里发布了最新公告:安全公告20200601近日,阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。漏洞描述fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,
原创
2020-06-05 16:05:22 ·
770 阅读 ·
0 评论