它又来了!FastJson又被发现漏洞,autotype的安全控制开关限制可以被绕过...你方了没?...

最新推荐文章于 2024-08-23 14:25:00 发布
最新推荐文章于 2024-08-23 14:25:00 发布
阅读量5.8k 收藏
点赞数

点击上方 "程序员小乐"关注, 星标或置顶一起成长

每天凌晨00点00分, 第一时间与你相约

每日英文

Please don't judge me from my past. I am not the one I used to be. 

别再用我的过去来评价我了,我早就不是以前那个我了。

每日掏心

刺眼的不是阳光、而是别人的幸福。总是喜欢在这样孤独的夜里,翻来覆去,那些被自己深埋心底的往事,得到的,拥有的,失去的,有种恍然如梦的感觉。

来自:安全客 | 责编:乐乐

链接:anquanke.com/post/id/207029

程序员小乐(ID:study_tech) 第 883 次推文  图源:百度

往日回顾:Java中当对象不再使用时,不赋值为null会导致什么后果 ?

     

   正文   

0x01 漏洞背景

2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastjson远程代码执行漏洞的风险通告,漏洞等级:高危。

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

截止到漏洞通告发布,官方还未发布1.2.69版本,360CERT建议广大用户及时关注官方更新通告,做好资产自查,同时根据临时修复建议进行安全加固,以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式        等级

威胁等级   【高危】

影响面      【广泛】

0x03 影响版本 

Fastjson:<= 1.2.68

0x04 修复建议

临时修补建议:

升级到Fastjson 1.2.68版本,通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode会完全禁用autotype,无视白名单,请注意评估对业务影响)

0x05 时间线

2020-05-28 360CERT监测到业内安全厂商发布漏洞通告

2020-05-28 360CERT发布预警


0x06 参考链接


【安全通告】Fastjson <=1.2.68全版本远程代码执行漏洞通告:cloud.tencent.com/announce/detail/1112

官方通告

github.com/alibaba/fastjson/releases

欢迎在留言区留下你的观点,一起讨论提高。如果今天的文章让你有新的启发,学习能力的提升上有新的认识,欢迎转发分享给更多人。

欢迎各位读者加入订阅号程序员小乐技术群,在后台回复“加群”或者“学习”即可。

猜你还想看

阿里、腾讯、百度、华为、京东最新面试题汇集

Spring Boot 打的包为什么能直接运行?

为什么超级计算机都不用Windows或MacOS系统?

看完这些 Java 代码优秀案例,一定对你有提升!

关注订阅号「程序员小乐」,收看更多精彩内容

嘿,你在看吗

程序员小乐
关注
安全 fastjson_这些FastJson漏洞已经人尽皆知的事情(安全角度)
weixin_42393650的博客
01-14 949
一个阳光灿烂的冬日清晨,我一如既往地躲在被窝里刷着手机。突然,有一篇公众号头条的一篇文章吸引了我:那些FastJson漏洞不为人知的事情(开发角度)哇塞,这标题,一看就是大佬的力作!但是看着看着,这文章感觉不对啊,当中的许多观点都是“颠覆性的创新”,完全改变了我对fastjson漏洞的认知!难道我之前学的都是错的?所以抱着大胆假设,小心求证的科(杠)学(精)精神,对该文中的一些观点进行...
fastjson safemode_fastjson_safemode
weixin_42556197的博客
01-14 7305
打开SafeMode功能在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。有三种方式配置SafeMode,如下:1. 在代码中配置ParserConfig.getGlobalInstance().setSafeMode(true);注意,如果使用ne...
fastjson开启safeMode,关闭autoType,去除安全漏洞
blood_Z的博客
05-26 6635
## fastjson开启safeMode,关闭autoType,去除安全漏洞 在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。 有三种方式配置SafeMode,如下: 在代码中配置 ParserConfig.getGlobalInstance().setSafeMode(true); 注意,如果使用new ParserConfig的方式,需要注意单例处
一文搞定—FastJson详解 与 使用
最新发布
边走、边悟、迟早变好
08-23 3032
提供服务器端、安卓客户端两种解析工具,性能表现较好。提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。允许转换预先存在的无法修改的对象(只有class、无源代码)。Java泛型的广泛支持。允许对象的自定义表示、允许自定义序列化类。
autotype安全 fastjson_fastjson 出现远程代码执行漏洞,等级“高危”
weixin_33660045的博客
01-05 267
fastjson 官方发布了安全公告:(数据来自开源中国)公告指出,fastjson <= 1.2.68 版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。360CERT 将漏洞等级定为“高危”。该远程代码执行漏洞原理是,autotype 开关限制可以被绕过,链式反序列化攻击者可以通过精心构造反序列化利用链,最终达成远程命令执行。此漏洞本身无法绕过 fastjson 的黑名单限制...
Fastjson开启安全模式
qq_38229543的博客
12-16 1806
原文链接:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
fastjson开启安全模式
wenlai123456的博客
09-03 3204
方式4:通过fastjson.properties文件配置。方式2:针对某个解析配置。方式3:JVM启动参数。
什么是FastJsonAutoType反序列化漏洞?
热门推荐
hosaos的博客
06-30 1万+
文章目录频繁出现的反序列化漏洞parse()及parseObject()AutoType及安全校验AutoType安全校验AutoType黑名单机制SafeMode安全机制攻击思路反序列化攻击模拟TemplatesImpl攻击调用链路攻击类Translet生成构造攻击JSON串攻击模拟写在最后 频繁出现的反序列化漏洞 最近公司的小伙伴们收到了一波安全工单,因为FastJson存在高危漏洞,要求将FastJson版本号升级到1.2.69及以上 漏洞描述如下 在Fastjson<=1.2.68的版本中,
fastjson到底做错了什么?为什么会被频繁爆出漏洞
xiaoliangtx的博客
07-15 613
fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的是他为什么会频繁被爆漏洞?于是我带着疑惑,去看了下fastjson的releaseNote以及部分源代码。 最终发现,这其实和fastjson中的一个AutoType特性有关。 从2019年7月份发布的v1.2.59一直到2020年6月份发布的 v1.
fastjson safemode_Fastjson 反序列化漏洞
weixin_33476081的博客
02-06 1426
作者:Longofo@知道创宇404实验室时间:2020年4月27日英文版本:https://paper.seebug.org/1193/Fastjson有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一...
Fastjson反序列化漏洞复现分析
include_voidmain的博客
03-25 5495
0x01 反序列化过程 fastjson将字符串转换为对象的方法主要有parse和parseObject 其中parseObject也会调用parse来解析json,下面来分析下反序列化过程 首先写一个测试的javabean public class TestBean { public String isMessage; public String message; public int id; public String getMessage() { System.out.println("getMess
安全模式
03-29
NULL 博文链接:https://buptrock.iteye.com/blog/1279528
fastjson-bypass-autotype-1.2.68:fastjson使用Throwable和AutoCloseable绕过自动类型1.2.68
03-08
fastjson-bypass-autotype-1.2.68 fastjson因为exceptClass期望类的特性导致可以通过AutoCloseable和Throwable绕过自动类型。 复现 运行org.chabug.fastjson.DemoApplication ,访问 自动关闭绕过 POST /parseObject HTTP/1.1 Host: test.local:8082 Connection: close Content-Type: application/json Content-Length: 131 { "@type":"java.lang.AutoCloseable", "@type": "org.chabug.fastjson.exploit.ExecCloseable", "domain": "y4er.com | calc" } 可投掷绕过
fastjson漏洞
07-27
漏洞的原因是FastJSONautotype开关限制可以被绕过,从而导致反序列化一些本不应该被反序列化的类,从而产生安全风险。\[1\] 在2022年5月23日,FastJSON官方发布了安全通报,指出FastJSON <= 1.2.80存在反序列化...
fastjson版本_Fastjson远程代码执行漏洞安全通告
weixin_39834767的博客
11-28 173
漏洞综述漏洞背景Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。近日,新华三安全攻防团队监测到Fastjson <=1.2.68全版本存在远程代码执行漏洞,可直接获取到服务器权限。漏洞原理漏洞成因是Fastjson <=1.2.68全版本存在远程...
autotype安全 fastjson_Fastjson高危漏洞风险提示
weixin_39574943的博客
12-22 480
漏洞公告:2020年6月1日,Fastjson官方发布autoType开关绕过安全漏洞和补全autoType黑名单的漏洞修复版本:1.2.69、1.2.70版本,相关链接参考:根据更新记录,漏洞主要为autoType开关绕过的反序列化漏洞利用,恶意攻击者可以通过该漏洞绕过autoType限制实现远程代码执行攻击,从而获取目标系统管理权限,建议尽快更新漏洞修复版本或采用临时缓解措施加固系统。影响范围...
fastjson safemode_它又又又来了,Fastjson 最新高危漏洞来袭!
weixin_39977276的博客
02-06 254
来源 |https://www.anquanke.com/post/id/2070290x01 漏洞背景2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastjson远程代码执行漏洞的风险通告,漏洞等级:高危Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaB...
fastjson safemode_「漏洞通告」Fastjson | 绿盟科技技术博客
weixin_39607935的博客
01-14 527
阅读:5,441近日,绿盟科技监测到有消息称Fastjson<=1.2.68版本中存在一个高危漏洞。攻击者可以绕过autotype限制,但必须利用不在黑名单中的gadgets,实际造成的危害与利用的gadgets有关。fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean...
高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞
慌途L
06-12 3250
前言 Fastjson <=1.2.68版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。 漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。 本次漏洞发现,其autotype开关限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。 漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕
Java项目中JDBC.properties文件读取详解与Fastjson应用
"在Java项目开发中,JDBC(Java Database Connectivity)连接池配置通常存储在名为`jdbc....无论是传统的`Properties`方式还是借助第三方库如`Fastjson`,了解并熟练掌握这一操作技巧都是Java开发者必备的技能之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值