fastjson和其他主流json工具的鉴别

于 2023-12-28 00:20:29 发布
阅读量422 收藏 7
点赞数 8
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63161777/article/details/135258506
版权

判断是否用了fastjson:

通过DNS日志来查找是否使用fastjson

{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog.com"}} 
{{"@type":"java.net.URL","val":"http://dnslog.com"}:"a"}

根据解析变化

{"a":new a(1),"b":x'11',/*\*\/"c":Set[{}{}],"d":"\u0000\x00"} {"ext":"blue","name":{"$ref":"$.ext"}}

根据响应状态

{"@type":"whatever"}

鉴别org.json:

特殊字符:

{a:'\r'}

鉴别gson

浮点类型精度丢失

{a:1.111111111111111111111111111}

注释符

#\r\n{a:1}

友善的双双487
关注
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1260
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
fastjson与 jackson 黑盒如何辨别
把梦想放飞在蓝色的天空里...
11-25 853
from:某json 黑盒盲测与白盒审计 - 先知社区 (aliyun.com) fastjson与jackson区别,如果请求包中的 json 如下: {"name":"S", "age":21} 追加一个随机 key ,修改 json 为 {"name":"S", "age":21,"agsbdkjada__ss_d":123} 这里 fastjson 是不会报错的, Jackson 因为强制 key 与 javabean 属性对齐,只能 少不能多 key, 所以会报错,服务器的响应包中多少会有异常.
反序列化学习 -- Fastjson
05-31 307
fastjson是之前比较流行的第三方json库。官方文档宣称其性能测试第一,并且给了图本文讲解fastjson.net的反序列化漏洞demo一个最小的序列化demousing fastJSON; using System; namespace Fastjson.NetSerializer { class Person { public...
Fastjson系列漏洞实战和总结
yggcwhat
04-30 2771
前言 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。 目录 Fastjson<1.2.24远程代码执行(CNVD-2017-02833 ) Fastjson<1.2.48远程代码执行漏洞(CNVD-2019-22238) Fstjson < 1.2.60 远程拒绝服务漏洞 Fastjson <=1.2.6
fastjson 判断是否包含_Fastjson又被发现漏洞,这次危害可导致服务瘫痪!
weixin_27734811的博客
12-30 99
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!来源:360CERTwww.toutiao.com/i6733119825897325068报告编号:B6-2019-090501报告来源:360-CERT报告作者:360-CERT更新日期:2019-09-050x00 漏洞背景2019年9月5日,fastjson在commit 995845170527221ca029...
Java四大json库gson+fastjson+jackson+json-lib
11-22
为了方便地处理JSON数据,Java社区提供了多个优秀的JSON库,包括Gson、Fastjson、Jackson和json-lib。这四大JSON库各有特点,适应不同的使用场景。 1. Gson: Gson是Google提供的一个开源库,它能够将Java对象转换...
使用fastjson实现对象和json串之间的相互转换的jar包
10-17
在实际开发中,为了在项目中使用Fastjson,我们需要将"json格式转换依赖jar包"引入到构建工具(如Maven或Gradle)的依赖管理中。如果是Maven,可以在pom.xml文件中添加以下依赖: ```xml <groupId>...
javafastjson生成和解析json数据(序列化和反序列化数据)
10-20
总而言之,FastjsonJava环境中处理JSON数据时是不可或缺的工具,它在性能上具有明显的优势,并且提供了丰富的方法和类库来支持复杂的JSON数据结构。对于开发者来说,Fastjson是简化JSON处理流程的强力助手。
例举fastJson和jackson转json的区别
10-17
Java开发中,将对象转换为JSON格式是一个常见的任务,FastJson和Jackson是两个非常流行的JSON库。它们都提供了高效且便捷的API用于JSON序列化和反序列化,但它们在处理方式上存在一些差异。以下是对FastJson和...
Fastjson工具进行JSON序列化
最新发布
09-01
JSONJava Script Object ...重点说明了工具fastjson 是怎么实现 JSON 的序列化和反序列化的。 首先你要确保在项目中已经添加了Fastjson的依赖包,否则需要手动添加。如果是Maven项目,可以在pom.xml中添加依赖;
各个JSON技术的比较
weixin_34210740的博客
09-30 1512
JSON技术的调研报告一 、各个JSON技术的简介和优劣1.json-libjson-lib最开始的也是应用最广泛的json解析工具json-lib 不好的地方确实是依赖于很多第三方包,包括commons-beanutils.jar,commons-collections-3.2.jar,commons-lang-2.6.jar,commons-logging-1.1.1.jar,ezmorph...
fastjson 判断是否包含_通过dnslog探测fastjson的几种方法
weixin_39816362的博客
12-18 1375
0x01 背景在渗透测试中遇到json数据一般都会测试下有没有反序列化。然而json库有fastjson,jackson,gson等等。怎么判断后端不是fastjson呢?这就需要构造特定的payload了。昨天翻看fastjson源码时发现了一些可以构造dns解析且没在黑名单当中的类,于是顺手给官方提了下Issue。有趣的是后续的师傅们讨论还挺热闹的,我也在这次讨论中学习了很多。这篇文章算是对那...
黑盒判断FastJson组件
课嗨教育的专栏
01-26 1355
判断方法个人总结有以下四种: 1. 响应报错 如果站点响应结果中会将代码控制台的错误结果回显,就可以用不闭合括号、引号等方式进行报错回显,报错结果中可以通过 类的包名判断是哪个json组件 com.alibaba.fastjson.JSONException com.fasterxml.jackson.databind.xxxxxxxxx 2. 支持额外属性的特性 fastjson支持类对象以外的属性获取,而jackson不支持,可以在测试时可以通过添加额外的参数值,查看是不否报
fastjson漏洞合集以及是否使用组件判断
weixin_46626737的博客
08-11 783
3>使用marshalsec-0.0.3-SNAPSHOT-all.jar开启一个rmi或者ladp服务。则会发现rmi服务会有回显,而且shell会反弹回来。6>则会发现rmi服务会有回显,而且shell会反弹回来。(3)通过dnslog来判断是否使用了fastjson。2>将class文件放到http服务目录下。(2)查看其fastjson的版本。(1)漏洞版本:1.2.24之前。(1)漏洞版本:1.2.48以前。2)开启监听2233端口。1)写一个java文件。3)开启一个rmi服务。
Fastjson漏洞的识别与DNSlog回显
tpaer的博客
09-02 4945
Fastjson RCE漏洞实战POC探测方式
使用fastjson读取复杂的JSON格式数据并将结果数据使用spark存入hive表
lx2wenhui的博客
05-11 1177
如何对复杂的json数据进行解析
2023最新最全 fastjson 漏洞批量检测工具使用教程。
logic1001的博客
11-29 2673
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
fastjson反序列化漏洞区分版本号的方法总结
yggcwhat
07-16 2995
fastjson反序列化漏洞区分版本号的方法总结
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值