fastjson
文章平均质量分 97
# fastjson
Ho1aAs
Tutte le strada portano a roma.
展开
-
『Java安全』反序列化-FastJson 1.2.25-1.2.47历史版本修复绕过分析_marshasec复现fastjson jndi注入
文章目录前言fastjson 1.2.25-1.2.41旧版本补丁更新分析解决完 前言 在1.2.24爆出后官方进行了多次修复,然而修复后仍然不断有漏洞爆出 fastjson 1.2.25-1.2.41 旧版本补丁更新分析 运行一下1.2.24的payload,ParserConfig.checkAutoType方法提示autoType不支持 在DefaultJSONParser.parseObject新调用了checkAutoType 解决 完 欢迎关注我的CSDN博客 :@Ho1aAs 版权属于:原创 2022-03-09 22:24:39 · 1712 阅读 · 0 评论 -
『Java安全』反序列化-FastJson 1.2.24反序列化漏洞POP链分析_TemplatesImpl和JdbcRowSetImpl JNDI注入分析_marshalsec测试payload利用
文章目录前言版本FastJson基础一、反序列化TemplatesImpl类payload代码审计 | 原理分析JSON.parse()处理byte[]JSON.parse()触发TemplatesImpl.getOutputProperties()代码复现参考完 前言 版本 FastJson <= 1.2.24 FastJson基础 『Java』Fastjson基础 一、反序列化TemplatesImpl类 payload { "@type":"com.sun.org.apache.xalan原创 2022-03-06 15:36:07 · 1140 阅读 · 0 评论