Fastjson反序列化漏洞:深入探讨与安全防范

于 2024-08-31 06:45:00 发布
阅读量1k 收藏 16
点赞数 15
分类专栏: Java基础 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xycxycooo/article/details/141572859
版权

Fastjson反序列化漏洞:深入探讨与安全防范

作为一名编程博客专家,我将带领大家深入探讨Fastjson反序列化漏洞的原理、影响以及如何进行安全防范。本文将详细解释反序列化漏洞的含义、Fastjson的工作原理以及如何在实际编程中避免和修复这类漏洞。通过丰富的代码示例、代码注释和技术解释,帮助程序员全面理解Fastjson反序列化漏洞的工作原理及实际应用。

前置知识

在深入探讨之前,我们需要了解一些基本概念:

  1. 序列化(Serialization):序列化是将对象转换为字节流的过程,以便将其存储到文件、内存或通过网络传输。
  2. 反序列化(Deserialization):反序列化是将字节流转换回对象的过程。
  3. Fastjson:Fastjson是阿里巴巴开源的一款高性能的JSON库,用于JSON与Java对象之间的转换。
  4. 反序列化漏洞:反序列化漏洞是指攻击者通过构造恶意输入,利用反序列化过程中的缺陷,执行任意代码或命令的安全漏洞。
Fastjson反序列化漏洞原理

Fastjson反序列化漏洞主要是由于Fastjson在反序列化过程中,对输入数据的安全性验证不足,导致攻击者可以构造恶意JSON数据,触发反序列化操作,进而执行任意代码或命令。

1. Fastjson工作原理

Fastjson通过JSON.parseObjectJSON.parse方法将JSON字符串反序列化为Java对象。

示例代码:

import com.alibaba.fastjson.JSON;

public class FastjsonExample {
    public static void main(String[] args) {
        String jsonString = "{\"name\":\"Alice\", \"age\":30}";
        Person person = JSON.parseObject(jsonString, Person.class);
        System.out.println(person);
    }
}

class Person {
    private String name;
    private int age;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

    @Override
    public String toString() {
        return "Person{name='" + name + "', age=" + age + "}";
    }
}

解释:

  • JSON.parseObject 方法将JSON字符串反序列化为 Person 对象。
  • Person 类定义了 nameage 属性,并提供了相应的getter和setter方法。
2. 反序列化漏洞原理

攻击者可以构造恶意JSON数据,触发Fastjson反序列化过程中的漏洞,执行任意代码或命令。

示例代码:

import com.alibaba.fastjson.JSON;

public class FastjsonVulnerabilityExample {
    public static void main(String[] args) {
        String maliciousJsonString = "{\"@type\":\"com.example.MaliciousClass\", \"cmd\":\"calc.exe\"}";
        Object obj = JSON.parseObject(maliciousJsonString);
        System.out.println(obj);
    }
}

class MaliciousClass {
    private String cmd;

    public String getCmd() {
        return cmd;
    }

    public void setCmd(String cmd) {
        this.cmd = cmd;
        try {
            Runtime.getRuntime().exec(cmd);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

解释:

  • maliciousJsonString 是一个恶意JSON字符串,包含 @type 字段,指定反序列化的目标类为 MaliciousClass
  • MaliciousClass 类定义了一个 cmd 属性,并在 setCmd 方法中执行系统命令。
  • 当Fastjson反序列化 maliciousJsonString 时,会调用 MaliciousClasssetCmd 方法,执行系统命令 calc.exe(计算器程序)。
安全防范措施

为了避免Fastjson反序列化漏洞,可以采取以下安全防范措施:

1. 升级Fastjson版本

及时升级到最新版本的Fastjson,修复已知的安全漏洞。

示例代码:

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.83</version>
</dependency>

解释:

  • 在Maven项目中,将Fastjson依赖升级到最新版本(例如1.2.83)。
2. 禁用@type自动类型解析

禁用Fastjson的@type自动类型解析功能,避免反序列化任意类。

示例代码:

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;

public class SafeFastjsonExample {
    public static void main(String[] args) {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(false);

        String jsonString = "{\"name\":\"Alice\", \"age\":30}";
        Person person = JSON.parseObject(jsonString, Person.class);
        System.out.println(person);
    }
}

解释:

  • 通过 ParserConfig.getGlobalInstance().setAutoTypeSupport(false) 禁用@type自动类型解析功能。
3. 白名单机制

使用白名单机制,只允许反序列化指定的安全类。

示例代码:

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;

public class SafeFastjsonExample {
    public static void main(String[] args) {
        ParserConfig.getGlobalInstance().addAccept("com.example.Person");

        String jsonString = "{\"name\":\"Alice\", \"age\":30}";
        Person person = JSON.parseObject(jsonString, Person.class);
        System.out.println(person);
    }
}

解释:

  • 通过 ParserConfig.getGlobalInstance().addAccept("com.example.Person")Person 类加入白名单。
4. 输入验证

对输入的JSON数据进行严格的验证和过滤,避免恶意数据。

示例代码:

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;

public class SafeFastjsonExample {
    public static void main(String[] args) {
        String jsonString = "{\"name\":\"Alice\", \"age\":30}";
        JSONObject jsonObject = JSON.parseObject(jsonString);

        if (isValidPerson(jsonObject)) {
            Person person = JSON.toJavaObject(jsonObject, Person.class);
            System.out.println(person);
        } else {
            System.out.println("Invalid JSON input");
        }
    }

    private static boolean isValidPerson(JSONObject jsonObject) {
        return jsonObject.containsKey("name") && jsonObject.containsKey("age")
                && jsonObject.getString("name") != null && jsonObject.getInteger("age") != null;
    }
}

解释:

  • 对输入的JSON数据进行验证,确保包含 nameage 字段,并且字段值不为空。
总结

通过本文的讲解,我们详细了解了Fastjson反序列化漏洞的原理、影响以及如何进行安全防范。Fastjson反序列化漏洞主要是由于Fastjson在反序列化过程中,对输入数据的安全性验证不足,导致攻击者可以构造恶意JSON数据,触发反序列化操作,进而执行任意代码或命令。为了避免这类漏洞,可以采取升级Fastjson版本、禁用@type自动类型解析、使用白名单机制和输入验证等安全防范措施。希望本文能够帮助你更好地理解和应用Fastjson反序列化漏洞的安全防范。如果你有任何问题或需要进一步的解释,请随时提问。编程愉快!

需要重新演唱
关注
专栏目录
网络攻防中json序列化漏洞案例,fastjson远程命令执行漏洞原理
代码讲故事
04-03 410
网络攻防中json序列化漏洞案例,fastjson远程命令执行漏洞原理。 网络攻防中的JSON序列化漏洞是指当应用程序使用JSON(JavaScript Object Notation)格式来序列化和反序列化对象时,由于不当处理或不安全的编程实践,导致攻击者能够执行恶意操作的安全漏洞。这些操作可能包括远程代码执行(RCE)、数据泄露、服务拒绝(DoS)等。
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 8463
【代码】fastjson1.2.83反序列化漏洞
亲手带你 Debug Fastjson安全漏洞
代码界的扛把子
04-28 2271
简介 Java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjsonfastjson是阿里巴巴一个开源的json相关的java library,地址在这里, https://github.com/alibaba/fastjsonFastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对象,效率较高,被广泛的用在web服务以及android上,它的JSONString()方法可以将java的对象转换成j
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
fastjson反序列化漏洞_fastjson反序列化0day漏洞分析
weixin_39522698的博客
11-30 325
背景fastjson号称要做最好的json解析库,但是上半年连续搜收到两份安全部的漏洞警告,很尴尬,因此对fastjson漏洞做了一个简单的研究。本文会分析2017年的远程执行漏洞和2019年上半爆出的0day漏洞。名词解释:0day:信息安全意义上的0Day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。poc:Proof ofConcept,中文意思是“观点证明”。这个短语会在漏...
Fastjson反序列化漏洞详解
zhuyi666的博客
03-13 3090
fastjson介绍:fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。FastJson是啊里巴巴的的开源库,用与对JSON格式的数据进行解析和打包。速度快使用广泛测试完备使用简单功能完备JSON数据格式{"name":zy, "age":22, "flag":true, "gender":male, "address":cs}("key":value)
Fastjson漏洞
qq_50854662的博客
10-09 5786
Fastjson漏洞
2020年Q2网络安全季刊:机器学习与政企安全深度探讨
- 文章涵盖了StarCTF 2019中的off-by-one漏洞学习,Fastjson反序列化漏洞历史,CodeQL的污点分析,以及对多个CVE编号的漏洞分析,如CVE-2020-1066和CVE-2020-8835的提权漏洞,提供了深入的技术解析和防御建议。...
【源码解读】:深入FastJson内部工作机制与源码解析
FastJson是由阿里巴巴开源的一个高性能的JSON库,它广泛应用于Java应用程序中,用以实现对象与JSON格式之间的相互转换。相较于其它JSON库,FastJson以其简洁易用和高效的特性深受开发者喜爱。本章将对FastJson的简单...
10种常见的安全漏洞问题.docx
11-13
2. JSON反序列化漏洞: JSON序列化和反序列化是数据交换的常见方式。当应用程序接收来自不可信源的JSON数据并反序列化时,如果反序列化过程没有充分的安全防护,攻击者可能利用此漏洞执行远程代码或注入恶意对象。...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
看雪2017安全开发者峰会ppt-10.Java_JSON反序列化之殇
08-30
由于JSON反序列化漏洞已经成为攻击者利用的一个主要方式,因此如何防御成为了必须关注的问题。 #### Fastjson PoC 在Fastjson中,PoC(Proof of Concept,概念验证)常被用于证明某些安全漏洞的存在。为了防御这些...
深入理解Spring Boot中的Fastjson
fudaihb的博客
07-22 1113
Fastjson是阿里巴巴开源的一个高性能的JSON处理库,因其速度快、功能强大且易用性高而被广泛使用。Spring Boot作为目前流行的微服务框架,也提供了与Fastjson的无缝集成。本文将深入探讨如何在Spring Boot中使用Fastjson,涵盖安装配置、基本用法、进阶技巧以及一些实际应用场景。
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3476
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
麻了!Fastjson 再曝反序列化漏洞。。
良月柒
05-30 285
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来源:© Alibaba Fastjson Develop Teamgithub.com/alibaba/fastjson/wiki/security_update_20220523近日 Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,请...
fastjson反序列化漏洞
最新发布
qq_73792226的博客
08-15 664
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
fastjson反序列化漏洞(1),网络安全多线程断点续传
m0_60575487的博客
04-07 668
fastjson反序列化与weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。​ Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。攻击机:win10 burp。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 4186
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
防范Fastjson反序列化漏洞的方法: 1. 更新Fastjson版本:Fastjson官方在1.2.46版本中修复了反序列化漏洞,建议使用该版本或更高版本。 2. 禁止使用Fastjson反序列化:如果应用程序中不需要使用Fastjson反序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

需要重新演唱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值