Fastjson反序列化漏洞分析

最新推荐文章于 2024-05-20 23:13:23 发布
最新推荐文章于 2024-05-20 23:13:23 发布
阅读量1.9w 收藏 11
点赞数 8
分类专栏: 漏洞 文章标签: java 漏洞 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaofeiNO1/article/details/76377080
版权

这里写图片描述

1. 漏洞描述

  • 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。
  • 影响版本: fastjson <= 1.2.24

2. 漏洞简介

  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastjson是阿里巴巴一个开源的json相关的java library,地址在这里,https://github.com/alibaba/fastjson,Fastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对象,效率较高,被广泛的用在web服务以及android上,它的JSONString()方法可以将java的对象转换成json格式,同样通过parseObject方法可以将json数据转换成java的对象。

Fastjson序列化和反序列化:

  • Fastjson序列化:通过JSON.toJSONString()方法,将对象转化成JSON格式的字符串
  • Fastjson反序列化:JSON.parseObject()方法,将JSON格式的字符串转化成对象

3. 漏洞原理分析

3.1  源码补丁分析

通过github上发布的更新补丁的源码比较可以看到主要的更新在这个checkAutoType函数上,而这个函数的主要功能就是添加了黑名单,将一些常用的反序列化利用库都添加到黑名单中。

github补丁源码diff

这里写图片描述

这里构造了一个denyList数组,主要利用黑名单机制把常用的反序列化利用库都添加到黑名单中,主要有:

denyList = "bsh,com.mchange,com.sun.,java.lang.Thread,java.net.Socket,java.rmi,javax.xml,org.apache.bcel,org.apache.commons.beanutils,org.apache.commons.collections.Transformer,org.apache.commons.collections.functors,org.apache.commons.collections4.comparators,org.apache.commons.fileupload,org.apache.myfaces.context.servlet,org.apache.tomcat,org.apache.wicket.util,org.codehaus.groovy.runtime,org.hibernate,org.jboss,org.mozilla.javascript,org.python.core,org.springframework".split(",");

同时添加了checkAutoType类:

这里写图片描述

源码

public Class<?> checkAutoType(String typeName) {
            if (typeName == null) {
                 return null;
             }

             final String className = typeName.replace('$', '.');

             if (autoTypeSupport) {
                 for (int i = 0; i < denyList.length; ++i) {
                     String deny = denyList[i];
                     if (className.startsWith(deny)) {
                         throw new JSONException("autoType is not support. " + typeName);
                     }
                 }
             }

             Class<?> clazz = TypeUtils.getClassFromMapping(typeName);
             if (clazz == null) {
                 clazz = derializers.findClass(typeName);
             }

             if (clazz != null) {
                 return clazz;
             }

             for (int i = 0; i < acceptList.length; ++i) {
                 String accept = acceptList[i];
                 if (className.startsWith(accept)) {
                     return TypeUtils.loadClass(typeName, defaultClassLoader);
                 }
             }

             if (autoTypeSupport) {
                 clazz = TypeUtils.loadClass(typeName, defaultClassLoader);
             }

             if (clazz != null) {
                 if (ClassLoader.class.isAssignableFrom(clazz) || DataSource.class.isAssignableFrom(clazz)) {
                     throw new JSONException("autoType is not support. " + typeName);
                 }

                 if (derializers.get(clazz) != null) {
最低0.47元/天 解锁文章
fly小灰灰
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson远程代码执行漏洞问题分析
lucasma的博客
03-01 5218
背景 fastjson远程代码执行安全漏洞(以下简称RCE漏洞),最早是官方在2017年3月份发出的声明, security_update_20170315 没错,强如阿里这样的公司也会有漏洞。代码是人写的,有漏洞是难免的。关键是及时的修复。 声明中,官方指出: 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29...
解决com.alibaba.fastjson.JSONException:autoType is not support问题,Redis FastJson
djouyang9090的博客
03-17 8791
解决fastjson反序列化问题,fastjson2.0.xx,redisconfig
fastjson反序列化漏洞原理
最新发布
m0_73649671的博客
05-20 999
fastjson反序列化漏洞原理
dubbo源码分析 - 序列化与反序列化
赵小叔
07-28 2173
  概念: 序列化:把对象转换为字节序列的过程称为对象的序列化。  反序列化:把字节序列恢复为对象的过程称为对象的反序列化。   在Dubbo RPC中,同时支持多种序列化方式: (1)dubbo序列化,阿里尚不成熟的java序列化实现。 (2)hessian2序列化:hessian是一种跨语言的高效二进制的序列化方式,但这里实际不是原生的hessian2序列化,而是阿里修改过的hes...
fastjson SerializerFeature详解
慎独
12-03 1022
依赖 &lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/groupId&gt; &lt;artifactId&gt;fastjson&lt;/artifactId&gt; &lt;version&gt;1.2.7&lt;/version&gt;
FastJson应用
m0_52174905的博客
01-17 1940
json的结构主要就是[],代表这是一个数组,{},代表这是一个对象, 对象转成json String json=JSON.toJSONString(new BankTableHead().setTableHeadInfo("日期")); map集合转成json list转成json
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
Java反序列化漏洞自动挖掘方法.pdf
08-21
自动化挖掘Java反序列化漏洞的方法通常涉及静态分析,这类似于可达性分析问题。可以通过构建调用树来搜索从反序列化入口到危险方法的可能路径。两种主要的搜索算法是深度优先搜索(DFS)和广度优先搜索(BFS)。DFS...
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
(ruoyi-vue)字典报错com.alibaba.fastjson2.JSONException: class java.lang.String cannot be converted to...
m0_67199170的博客
02-13 2501
报错信息中可以发现首先这是一个由fastjson2引发的bug,在查阅相关资料和博客之后,了解到可能是由于fastjson2版本导致的问题,于是便更换了几次版本,结果却不尽人意,显然这个bug和fastjson2的版本关系不是很大,还有一种说法是浏览器版本过低导致的,这种说法我没有去尝试,大家有空的话可以去尝试一下这个解决方案。于是我继续从报错信息中查找线索,定位到报错信息的第二行发现,这个bug是由fastjson2中的JSONArray这个类的toList()方法导致的。
解决com.alibaba.fastjson.JSONException: autoType is not support. xxx 问题
qq_17731471的博客
06-07 1419
最近搞一个项目遇到一个RedisConfig序列化问题,是用fastjson做的。
解决java.lang.NoSuchMethodError: com.alibaba.fastjson.serializer.JavaBeanSerializer.processValue报错
冬青_L的博客
07-09 1750
里面出错了,并不是redisCache配置类的错误,而是在其调用到fastjson依赖中的某个内容时出错。应该是导入的fastjson依赖的版本问题,因为此前用的另一个版本是没有错的。将fastjson依赖版本由1.2.62换成1.2.33即可。
Caused by: com.alibaba.fastjson.JSONException: autoType is not support
风流倜傥唐伯虎的博客
07-26 878
那是因为你把数据存进redis中的时候,使用了GenericFastJsonRedisSerializer来序列化和反序列化redis的value值 解决办法: 1. 返回对象必须要有个无参构造方法,否则报错 2. 可以使用JdkSerializationRedisSerializer,只不过JdkSerializationRedisSerializer在redis中保存的是二进制,而GenericFastJsonRedisSerializer是JSON ...
JSON转换失败,tomcat报错:java.lang.ClassNotFoundException: com.alibaba.fastjson2.JSON
m0_74206195的博客
12-17 3571
json转换错误,json字符串返回为undifined
ClassNotFoundException: fastjson.TypeReference 以及 NoClassDefFoundError: fastjson/TypeReference
Talk Is Cheap
05-19 418
pom.xml配了,不是一个常规的ClassNotFoundException / NoClassDefFoundError 可以绕过: JSON.parseObject(inputString, new TypeReference<List<SomeClass>>() { }); 改为 (List<SomeClass>) JSON.parseObject(inputString); ...
关于fastjson在parse时报错default constructor not found. class的问题
qq_36185997的博客
06-02 2909
fastjson报错default constructor not found
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3682
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
fastjson 反序列化漏洞
08-24
fastjson 反序列化漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 反序列化漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全的反序列化操作,导致攻击者能够执行任意代码或进行其他恶意操作。 这种漏洞通常是由于 fastjson反序列化过程中缺乏足够的安全检查和过滤机制,导致恶意用户能够构造特定的 JSON 字符串来触发漏洞。攻击者可以通过在 JSON 字符串中插入恶意的 Java 代码或利用已知的 Java 反序列化漏洞来执行任意代码。 为了防止 fastjson 反序列化漏洞的利用,建议遵循以下几点: 1. 尽量避免使用 fastjson 库,可以考虑使用其他更安全的 JSON 库。 2. 更新 fastjson 到最新版本,以获取最新的修复和安全增强功能。 3. 对用户输入的 JSON 字符串进行严格的验证和过滤,确保只有合法的、受信任的数据被反序列化。 4. 配置 fastjson 的 ParserConfig,限制反序列化操作只能处理预期的类型。 5. 避免在反序列化过程中执行不可信的代码,尽量将反序列化操作限制在有限的安全环境中。 总之,fastjson 反序列化漏洞是一个需要注意和防范的安全问题,开发者在使用 fastjson 库时应当保持警惕并采取相应的安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值