fastjson安全学习杂记

最新推荐文章于 2024-05-10 16:05:25 发布
最新推荐文章于 2024-05-10 16:05:25 发布
阅读量617 收藏
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48664996/article/details/119249339
版权

Fastjson

简介

        Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。

        Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。

        Fastjson 源码地址:https://github.com/alibaba/fastjson

        Fastjson 中文 Wiki:https://github.com/alibaba/fastjson/wiki/Quick-Start-CN

特性

        1 提供服务器端、安卓客户端两种解析工具,性能表现较好。

        2 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。

        3 允许转换预先存在的无法修改的对象(只有class、无源代码)。

        4 Java泛型的广泛支持。

        5 允许对象的自定义表示、允许自定义序列化类。

        6 支持任意复杂对象(具有深厚的继承层次和广泛使用的泛型类型)

漏洞

远程代码执行漏洞1(CNVD-2017-02833 )

介绍

        fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

影响版本

        Fastjson<1.2.24

防护

        更新fastjson版本

远程代码执行漏洞2(CNVD-2019-22238)

介绍

        fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

影响版本

Fastjson<1.2.48

防护

        更新fastjson版本

远程代码执行漏洞3

介绍

        FastJSON <= 1.2.68 存在远程代码执行漏洞,可直接获取到服务器权限。漏洞成因是Fastjson autotype开关的限制可被绕过,然后链式地反序列化某些原本不能被反序列化的有安全风险的类。

影响版本

        FastJSON <= 1.2.68

防护

        更新fastjson版本,关闭autotype改用白名单,更新jdk(不太现实)

远程拒绝服务漏洞

介绍

        Fastjson多个版本存在远程拒绝服务漏洞,Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机。

影响版本

        fastjson <1.2.60

        fastjson sec版本>=sec06

防护

        更新fastjson版本

指纹识别

        若有报错回显,可以故意构造不完整json请求,返回的数据包会进行报错。

        若无报错回显,利用dnslog进行回显

总结

        为保证安全,尽量使用、更新最新版本的fastjson。

EZ4GodJ
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Xcode模拟器下载地址(iOS 8 - iOS 12)
03-19
Xcode 模拟器手动下载地址,内容只包含从iOS 8 - iOS 12 之间的各个小版本。
XcodeiOS应用开发的一般项目目录结构和流程简介
09-02
Xcode进行iOS应用开发时,理解项目目录结构和开发流程至关重要,因为它们直接影响到项目的组织和维护。本文将详细介绍这些关键元素。 首先,我们要了解项目所需的平台路径。开发平台路径位于`/Developer/...
iOS问题记录 - Xcode 14安装低版本iOS模拟器(持续更新)
热门推荐
crasowas的博客
11-11 1万+
Xcode 14打出来的包在低版本系统运行时会崩溃,报错信息是Library not loaded: /usr/lib/swift/libswiftCoreGraphics.dylib,在苹果开发者论坛搜索报错信息,可以看到会闪退的最高版本是iOS 12.1。
Xcode 离线使用命令行手动添加 iOS / watchOS 模拟器 Xcode install Simulator from the command line
Eric Woo
09-13 4090
4. 在 Xcode - Window - Devices and Simulators 添加相应版本的模拟器,同理可以以此方法添加其他设备的模拟器。不过在很多时候,因为网络或者其他原因需要手动下载模拟器的 dmg 文件并且手动添加模拟器,可以使用如下命令来手动添加。下载相应设备的 Xcode模拟器文件,这里以 Xcode 15.0 和 iOS 17 Simulator 为例;在 Xcode 可以使用 Settings - Platforms 来下载和管理各种设备的模拟器
Xcode安装iOS17.4 simulator问题
最新发布
qq_37835111的博客
05-10 728
接着会发现问题2:空间不足 Cannot copy the image because the disk is almost full。如果你傻叉似的去清理空间 会发现剩余空间明明还有20GB还是提示空间不足 (我就是这样 喷血ing)首先装好XCode15以后开始安装iOS17.4 simulator 你会发现一直失败重试。你会发现问题1: 权限不足 那么把命令1换成下面这个。至此 再去按照命令去安装就安装成功了!下载完根据这个流程手动安装。
升级 Xcode 15模拟器 iOS 17.0 Simulator(21A328) 下载失败
survivorsfyh的博客
10-24 1853
升级 Xcode 15模拟器 iOS 17.0 Simulator(21A328) 下载失败
老版本iOS simulator链接
xo19882011的专栏
09-08 1万+
下载链接如下,下完了放到~/Library/Caches/com.apple.dt.Xcode/Downloads目录下。 iOS 14.3 https://devimages-cdn.apple.com/downloads/xcode/simulators/com.apple.pkg.iPhoneSimulatorSDK14_3-14.3.1.1611873653.dmg iOS 14.2 https://devimages-cdn.apple.com/downloads/xcode/simulators
Xcode上安装模拟机的方法
web前端学习总结
12-02 5541
Xcode 上安装模拟机的方法
xCode模拟器 ios Simulators 10.3 (14E269)
04-07
iOS应用开发过程Xcode模拟器扮演着至关重要的角色,它为开发者提供了在真实设备之外测试应用程序的环境。本文将深入探讨Xcode模拟器的特性,特别是iOS Simulators 10.3 (14E269)版本,以及如何利用它进行真机...
Xcode 模拟器ios8-ios10下载
05-11
Xcode ios8-ios10模拟器下载
xcode编译,启动模拟器调试工具
12-11
使用Xcodebuild工具来编译出.app,然后启动模拟器来运行这个.app,并查看日志。
iOS模拟器安装App的方法
01-04
/Users/work/Library/Developer/Xcode/DerivedData/*-daajgszwtouixcfnoaiawbxybpvd/Build/Products/DebugTest-iphonesimulator/*.app 注意: (1),需要将work修改为自己的用户名。 (2),两个*是productName。 2...
Xcode7---项目模拟器运行不了,一个月时间了,终于解决问题啦
Linda的iOS前进脚步
11-23 2854
Xcode7---iOS9要有一些配置 1、 - (BOOL)application:(UIApplication *)application didFinishLaunchingWithOptions:(NSDictionary *)launchOptions {     //ios9以后此方法必须设置windown根视图,否则报错     UIViewContr
Xcode 运行模拟器 失败
Liradi-Birdy的博客
04-19 782
编辑Scheme: build Configuration 要设置为 Debug
Xcode能编译运行成功,但是模拟器没有任何反应
XieNv的博客
02-25 6537
goole了好久,都不知道什么原因,后来发现是自己设置的原因,改下这个设置Product--->Scheme,如下截图:Executable竟然设置成none了,所以模拟器才会不出来
Xcode 9 —进阶的 iOS Simulator
weixin_33690963的博客
10-02 134
前言    iOS SimulatoriOS 开发过程不可或缺的一部分,我平时工作也有很大一部分时间在使用 iOS Simulator, 相比于 Android ,iOS Simulator 具有启动时间快,运行效率高等显著的特点。 因此,用好 iOS Simulator 对于提高我们的开发效率是有很大帮助的. Xcode 9 ,有一大堆新特新等你来撩!! 正文 1、 在 Xcode ...
React Native 和iOS Simulator 那点事
fengyuzhengfan的专栏
09-22 6777
React Native 和iOS Simulator 那点事本文出自《React Native学习笔记》@http://www.cboy.me系列文章。问题1:使用React Native时按cmd+r无法reload js,cmd+d无法唤起 React Native开发菜单?不知大家是否有过这样的经历,用 React Native开发应用正不亦乐乎的时候,突然发现,cmd+r,cmd+d快捷键
XCode里的模拟器到底在哪里?我的App被放到哪里了?如何寻找真机的沙盒文件?...
weixin_30556161的博客
03-23 365
一. 开发iOS,必然少不了和XCode这个家伙打交道。平时我们调试自己的App的时候,最常用到的就是模拟器Simulator了,调试的时候,我们的App会自动被XCode安装到模拟器去,不过: 你知道模拟器这个家伙在哪儿吗? 模拟器里面的目录结构是什么样的? 你的App安装在模拟器的哪个目录里了? 你的App里的结构是什么样的? 不要读文档了,赶紧来看一看吧 模拟器的目录在这里 ...
xcode创建iOS模拟器
07-28
Xcode是苹果公司开发的一款集成开发环境(IDE),用于开发iOS和macOS应用程序。要创建iOS模拟器,您可以按照以下步骤进行操作: 1. 首先,确保您已经安装了Xcode。您可以在App Store搜索Xcode并进行安装。 2. 打开Xcode后,选择“创建新项目”或使用快捷键Command + Shift + N。 3. 在弹出的窗口,选择“iOS”选项,并选择您想要创建的应用程序类型,例如“Single View App”。 4. 在下一步,您需要为您的项目选择名称、组织标识符和语言。 5. 在“设备”下拉菜单,选择“iOS Simulator”。 6. 在“iOS Simulator”下拉菜单,选择您想要模拟的iOS设备版本。 7. 点击“下一步”并选择您想要保存项目的位置。 8. 最后,点击“创建”按钮,Xcode将为您创建一个新的iOS模拟器项目。 现在,您可以使用Xcode创建的iOS模拟器来运行和测试您的应用程序。请注意,您可以在Xcode选择不同的iOS设备版本来模拟不同的设备和操作系统环境。 #### 引用[.reference_title] - *1* [xcode ios 模拟器安装运行](https://blog.csdn.net/weixin_50408263/article/details/126480094)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Xcode模拟iPhone教程!](https://blog.csdn.net/weixin_43219158/article/details/87627576)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值