坑爹fastjson又爆漏洞!这次危害可导致服务瘫痪!,特别是Android不要再用了

最新推荐文章于 2024-08-09 07:15:00 发布
最新推荐文章于 2024-08-09 07:15:00 发布
阅读量680 收藏
点赞数
原文链接:https://t.zsxq.com/FI6qnEY
版权


文导读|   点击标题阅读

连色情网站都不敢碰的AI禁区,ZAO正在疯狂试探

0x00 漏洞背景

2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。

360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。

建议广大用户对自身的业务/产品进行组件自查,确认fastjson版本至少升级到1.2.60

0x01 漏洞详情

漏洞的关键点在com.alibaba.fastjson.parser.JSONLexerBase#scanString中,当传入json字符串时,fastjson会按位获取json字符串,当识别到字符串为\x为开头时,会默认获取后两位字符,并将后两位字符与\x拼接将其变成完整的十六进制字符来处理:

640?wx_fmt=jpeg

而当json字符串是以\x结尾时,由于fastjson并未对其进行校验,将导致其继续尝试获取后两位的字符。也就是说会直接获取到\u001A也就是EOF:

640?wx_fmt=jpeg

当fastjson再次向后进行解析时,会不断重复获取EOF,并将其写到内存中,直到触发oom错误:

640?wx_fmt=jpeg

最终效果为:

640?wx_fmt=jpeg

0x02 影响版本

fastjson < 1.2.60版本

0x03 修复建议

  • 1.1.15~1.1.31版本更新到1.1.31.sec07版本

  • 1.1.32~1.1.33版本更新到1.1.33.sec06版本

  • 1.1.34 版本更新到1.1.34.sec06版本

  • 1.1.35~1.1.46版本更新到1.1.46.sec06版本

  • 1.2.3~1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本

  • 1.2.8 版本更新到1.2.8.sec06版本

  • 1.2.9~1.2.29 版本更新到1.2.29.sec06版本

0x04 时间线

2019-09-03 fastjson提交修补commit

2019-09-05 360CERT发布预警

2019-09-07 周末加班升级!

PS:jackson最近也发布了多个版本进行漏洞修复。

 
 
来源:https://tinyurl.com/y53yanrw
 
 
 
 
 
 
   开发者全社区
 
 

 
 
5T技术资源大放送!包括但不限于:Android,Python,Java,大数据,人工智能,AI等等。在公众号内回复「2T」,即可免费获取!
 
 
关注后回复“百度”、“阿里”、“腾讯”、“资源”有惊喜
 
 
 
 
 
 
 
 
 
 
 
 
640?wx_fmt=jpeg
 


                

        

        

    

  


    

      

        

            

              
                
                  xhmj12
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
fastJson

				
			

			

				

					weixin_43400432的博客
				

				

					08-04
					
					454
					
				

			

		

		

			
				
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。导入依赖fastjsonx.x.x输出结果为:[{“AGE”:15,},{“AGE”:20,}]还可以自定义输出,并控制字段的排序,日期显示格式,序列化标记等。以上代码列出了基本参数类别,并使用了@JSONField注解,以便实现自定义转换。format 参数用于格式化date属性。...

			
		

	



                

              
                



	

		

			

				
					
fastjson漏洞导致服务瘫痪,先别忙升级

				
			

			

				

					zxiaofan.com
				

				

					10-13
					
					2031
					
				

			

		

		

			
				
1、背景
  2019年9月5日,fastjson修复了当字符串中包含\x转义字符时可能引发OOM的问题。建议广大用户升级fastjson版本至少到1.2.60。  一个bug这么恐怖,竟然直接OOM,亲身体验下吧。测试代码如下:
JSON.parse("[{\"a\":\"a\\x]");

实验效果:4分钟 堆内存 占用上升达2G;

 &em...

			
		

	



                


  
              

                


	

		

			

				
					
fastjson jar包_初识Fastjson漏洞(环境搭建及漏洞复现)

				
			

			

				

					weixin_39637260的博客
				

				

					11-22
					
					319
					
				

			

		

		

			
				
目前网上的资源整理不是针对入门玩家,都需要一定的java漏洞调试基础,本文从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并复现漏洞触发,拥有属于自己的一套漏洞调试环境。0x01 Fastjson简介Fastjson 是Alibaba的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也...

			
		

	





	

		

			

				
					
Fastjson库的使用与性能优化

					
最新发布

				
			

			

				

					省赚客开发者博客
				

				

					08-09
					
					734
					
				

			

		

		

			
				
涵盖了JSON的序列化和反序列化,性能优化配置,以及安全性考虑。通过合理配置和使用Fastjson,可以提高Java应用的数据处理效率和安全性。虽然Fastjson以其高性能受到青睐,但也可以对比其他库如Gson、Jackson等,以满足不同场景的需求。Fastjson是阿里巴巴开源的Java JSON处理库,用于序列化和反序列化Java对象与JSON数据之间的转换。配置序列化的特性,这可以帮助优化序列化性能。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!

			
		

	



		

			
		



	

		

			

				
					
fastjson 序列化 不包括转义字符_fastjson黑盒测试与白盒审计

				
			

			

				

					weixin_39988197的博客
				

				

					11-20
					
					1166
					
				

			

		

		

			
				
简介与漏洞史java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjsonfastjson是阿里巴巴一个开源的json相关的java library,地址在这里,https://github.com/alibaba/fastjsonFastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对...

			
		

	





	

		

			

				
					
Fastjson介绍

					
热门推荐

				
			

			

				

					wutongyu344的专栏
				

				

					03-05
					
					3万+
					
				

			

		

		

			
				
简介

Fastjson是一个Java语言编写的高性能功能完善的JSON库。

高性能

fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。

支持标准


Fastjson完全支持http://json.org的标准,也是官方网站收录的参考实现之一

			
		

	





	

		

			

				
					
android fastjson漏洞_使用FastJson的朋友注意了!有危险!

				
			

			

				

					weixin_39770416的博客
				

				

					12-19
					
					538
					
				

			

		

		

			
				
Fastjson <=1.2.68版本存在远程代码执行漏洞!!漏洞详情Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。腾讯安全玄武实验室研究员发现,autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与...

			
		

	





	

		

			

				
					
详解Android原生json和fastjson的简单使用

				
			

			

				

					01-05
				

			

		

		

			
				
android原生操作json数据 主要是两个类 JSONObject 操作对象 JONSArray操作json数组 对象转json  //创建学生对象  Student student=new Student();  student.setAge(23);  student.setClazz(六年级);  student.set...

			
		

	





	

		

			

				
					
高版本的fastjson-1.2.71解决安全漏洞.rar

				
			

			

				

					04-14
				

			

		

		

			
				
然而,随着广泛使用,Fastjson在早期版本中出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和其他安全风险。在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过...

			
		

	





	

		

			

				
					
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞

				
			

			

				

					07-05
				

			

		

		

			
				
burp插件

			
		

	





	

		

			

				
					
fastJSON文档

				
			

			

				

					08-07
				

			

		

		

			
				
fastjson类库相关文档(fastjson文档)

			
		

	





	

		

			

				
					
android fastjson漏洞_Fastjson漏洞分析

				
			

			

				

					weixin_34185033的博客
				

				

					12-29
					
					319
					
				

			

		

		

			
				
0x01简介fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。FastJson特点如下:(1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。(2)顾名思义,FastJson操作JSON的速度是非...

			
		

	





	

		

			

				
					
android fastjson漏洞_Fastjson 反序列化漏洞

				
			

			

				

					weixin_32309879的博客
				

				

					01-12
					
					537
					
				

			

		

		

			
				
作者:Longofo@知道创宇404实验室时间:2020年4月27日Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一些探测payload,rce payload。Fastjson解析流程...

			
		

	





	

		

			

				
					
Fastjson 1.2.22-24 反序列化漏洞分析

				
			

			

				

					qq_50854662的博客
				

				

					10-13
					
					473
					
				

			

		

		

			
				
Fastjson 1.2.22-24 反序列化漏洞分析

			
		

	





	

		

			

				
					
Fastjson

				
			

			

				

					qq_35091353的博客
				

				

					08-15
					
					628
					
				

			

		

		

			
				
1、简介
1.1 Fastjson 简介

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。
Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
Fastjson 源码地址:https://github.com/alibaba/fastjson
Fastjson 中文 Wiki:https://github.com/alibaba/fastjson/wiki/Quick-Start

			
		

	





	

		

			

				
					
FastJson--阿里巴巴公司开源的速度最快的Json和对象转换工具

				
			

			

				

					On my way
				

				

					07-07
					
					624
					
				

			

		

		

			
				
这是关于FastJson的一个使用Demo,在Java环境下验证的

class User{
    private int id;
    private String name;
    public int getId() {
        return id;
    }
    public void setId(int id) {
        this.id = id;

			
		

	





	

		

			

				
					
FastJson详解

				
			

			

				

					从基础到源码解析的学习记录
				

				

					07-15
					
					7804
					
				

			

		

		

			
				
FastJson 是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson 的优点速度快fastjson相对其他JSON库的特点是快从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越使用广泛fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。

			
		

	





	

		

			

				
					
Fastjson严重漏洞:攻击可致业务瘫痪及修复建议

				
			

			

				

					
				

			

		

		

			
				
然而,它在2019年9月3日被发现存在一个重大安全漏洞,该漏洞可能导致攻击者通过构造特殊的JSON字符串,使得目标系统出现内存耗尽(Out-of-Memory,简称OOM)的情况,进而造成服务瘫痪。360-CERT发布了关于此漏洞的...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值