fastjson安全学习杂记

最新推荐文章于 2023-10-10 16:41:31 发布
最新推荐文章于 2023-10-10 16:41:31 发布
阅读量571 收藏
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48664996/article/details/119249339
版权

Fastjson

简介

        Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。

        Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。

        Fastjson 源码地址:https://github.com/alibaba/fastjson

        Fastjson 中文 Wiki:https://github.com/alibaba/fastjson/wiki/Quick-Start-CN

特性

        1 提供服务器端、安卓客户端两种解析工具,性能表现较好。

        2 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。

        3 允许转换预先存在的无法修改的对象(只有class、无源代码)。

        4 Java泛型的广泛支持。

        5 允许对象的自定义表示、允许自定义序列化类。

        6 支持任意复杂对象(具有深厚的继承层次和广泛使用的泛型类型)

漏洞

远程代码执行漏洞1(CNVD-2017-02833 )

介绍

        fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

影响版本

        Fastjson<1.2.24

防护

        更新fastjson版本

远程代码执行漏洞2(CNVD-2019-22238)

介绍

        fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

影响版本

Fastjson<1.2.48

防护

        更新fastjson版本

远程代码执行漏洞3

介绍

        FastJSON <= 1.2.68 存在远程代码执行漏洞,可直接获取到服务器权限。漏洞成因是Fastjson autotype开关的限制可被绕过,然后链式地反序列化某些原本不能被反序列化的有安全风险的类。

影响版本

        FastJSON <= 1.2.68

防护

        更新fastjson版本,关闭autotype改用白名单,更新jdk(不太现实)

远程拒绝服务漏洞

介绍

        Fastjson多个版本存在远程拒绝服务漏洞,Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机。

影响版本

        fastjson <1.2.60

        fastjson sec版本>=sec06

防护

        更新fastjson版本

指纹识别

        若有报错回显,可以故意构造不完整json请求,返回的数据包会进行报错。

        若无报错回显,利用dnslog进行回显

总结

        为保证安全,尽量使用、更新最新版本的fastjson。

EZ4GodJ
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson反序列化利用
09-29
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有...
fastjson-1.2.25.jar
09-02
这是fastjson第一个修改了autotype的默认选项的版本,默认不开启autotype,安全性有了相对明显的提升。 用这个版本的fastjson可以方便做一些相关的安全研究,和以往的版本对比,来寻找升级的地方。
JSON转换失败,tomcat报错:java.lang.ClassNotFoundException: com.alibaba.fastjson2.JSON
m0_74206195的博客
12-17 3490
json转换错误,json字符串返回为undifined
解决Fastjson2 oom(Out Of Memory),支持大对象(LargeObject 1G)json操作
huang007guo的专栏
08-18 4188
在使用Fastjson中的 JSON.toJSONString时,如果对象数据太大(>64M)会出现Out Of Memory,查看源码发现为JSONWriter中的判断代码其中maxArraySize默认最大为64M,如果超过了就会抛出oom错误如果fastjson过多的使用内存,也可能导致java堆内存溢出,所以这里建议控制好json对象大小,避免过多过大对象做json操作。
BUG: com.alibaba.fastjson2.JSONException: class java.lang.String cannot be converted to class
Chioce的博客
04-20 1158
BUG: com.alibaba.fastjson2.JSONException: class java.lang.String cannot be converted to class
com.alibaba.fastjson.JSONException: can not cast to JSONObject 使用fastjson解析json时报错
热门推荐
gym02的博客
12-01 2万+
Exception in thread "main" com.alibaba.fastjson.JSONException: can not cast to JSONObject. at com.alibaba.fastjson.JSON.parseObject(JSON.java:231) at com.jzx.JsonDemo.main(JsonDemo.java:15) Caused by: java.lang.ClassCastException: com.alibaba.fastjson.JS
阿里fastjson使用问题,目前使用的2.0.6版本 illegal
fori1的博客
06-17 3971
使用fastjson解析JSON出现illegal,原因是不能强转为string,需要进行
亲手带你解决Debug Fastjson安全漏洞
10-15
主要介绍了亲手带你解决Debug Fastjson安全漏洞,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
高版本的fastjson-1.2.71解决安全漏洞
FastJson.java
09-04
com.alibaba.fastjson.JSON读写json
fastjson2序列化报错OutOfMemoryError
懒 虫的博客
08-03 2171
(考虑到升级版本和现有代码的兼容性,没有用最新的),在序列化时增加一个features(features可以传多个的,根据自己需要传):JSONWriter.Feature.LargeObject。,该版限制了最大可以序列化大小是64M,超过了就报错OutOfMemoryError。报错log如下,这里用的是阿里的com.alibaba.fastjson2。这样最大序列化对象即可以支持1G了。要想解决,只能升级jar的版本,参考。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6255
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
Fastjson反序列化漏洞
yyj1781572的博客
04-13 1864
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
fastjson 代码执行 (CNVD-2017-02833)
qq_40646572的博客
05-08 873
fastjson
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 2981
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞)
p36273的博客
09-18 1588
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
Fastjson 反序列化漏洞
最新发布
m0_65150886的博客
10-10 495
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链Fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
【Vulfocus漏洞复现】fastjson-cnvd_2017_02833、fastjson-cnvd_2019_22238
weixin_45632448的博客
04-12 4376
vps:centos8 腾讯云 本地:windows11 靶场环境:http://123.58.236.76:24477/ 访问靶场环境:http://123.58.236.76:24477/ burp进行抓包,将请求方式改为POST,能够请求json数据,可能存在fastjson漏洞 准备两个东西:Exploit.class、marshalsec-0.0.3-SNAPSHOT-all.jar(准备过程不详述,网上都有) 在本地创建Exploit.java,内容如下 import java.io.Buf
fastjson反序列化漏洞
whj_study的博客
02-21 6186
# 漏洞名称: fastjson-cnvd_2017_02833 ## 漏洞简介 * Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java对象。 * Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON字符串转换为 Java 对象 Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义
fastjson 安全模式怎么设置
07-27
fastjson安全模式可以通过以下几种方式进行设置。首先,可以在代码中配置`ParserConfig.getGlobalInstance().setSafeMode(true)`来开启安全模式。例如,在应用程序的入口处添加以下代码: ```java public class DemoApplication { public static void main(String\[\] args) { ParserConfig.getGlobalInstance().setSafeMode(true); SpringApplication.run(DemoApplication.class, args); } } ``` 需要注意的是,如果使用`new ParserConfig`的方式,需要注意单例处理,否则可能会导致性能下降和内存泄漏。 另外一种方式是通过JVM启动参数来设置安全模式,可以在启动时加上`-Dfastjson.parser.safeMode=true`参数来开启安全模式。这样在应用程序运行时,fastjson会自动启用安全模式。 需要注意的是,安全模式的开启会完全禁用autoType功能,确保了fastjson在反序列化时不会受到恶意代码的攻击。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *3* [Fastjson开启安全模式5种方法(VIP典藏版)](https://blog.csdn.net/libusi001/article/details/117710826)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [fastjson 安全漏洞](https://blog.csdn.net/regrethh/article/details/107381977)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值