FastJSON 远程执行漏洞,速速升级!

最新推荐文章于 2024-08-09 20:21:52 发布
最新推荐文章于 2024-08-09 20:21:52 发布
阅读量3.4k 收藏 1
点赞数
原文链接:https://mp.weixin.qq.com/s/tsSXINpS0Jkw0pKz5FiJhw#rd
版权

640?wx_fmt=jpeg

相信大家用 FastJSON 的人应该不少,居然有漏洞,还不知道的赶紧往下看,已经知道此漏洞的请略过……


2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。

漏洞名称

FastJSON远程代码执行0day漏洞

漏洞描述

利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。

640?wx_fmt=png


影响范围

FastJSON 1.2.48以下版本

官方解决方案

升级至FastJSON最新版本,建议升级至1.2.58版本。

说明 强烈建议不在本次影响范围内的低版本FastJSON也进行升级。


升级方法

您可以通过更新Maven依赖配置,升级FastJSON至最新版本(1.2.58版本)。


640?wx_fmt=png


防护建议

Web应用防火墙的Web攻击防护规则中已默认配置相应规则防护该FastJSON 0day漏洞,启用Web应用防火墙的Web应用攻击防护功能即可。


说明:如果您的业务使用自定义规则组功能自定义所应用的防护规则,请务必在自定义规则组中添加以下规则:


640?wx_fmt=png

还在用低版本的,赶紧升级,顺手转发下给你身边正在用 FastJSON 的小伙伴!640


参考:help.aliyun.com/document_detail/123431.html


-END-

关注Java技术栈微信公众号,在后台回复关键字:Java,可以获取一份栈长整理的 Java 最新技术干货。

最近干货分享

Java 8 创建 Stream 的 10 种方式

不小心执行了 rm -f,先别急着跑路

IntelliJ IDEA 快捷键终极大全,速度收藏

Spring Boot 面试,一个问题就干趴下了

分享一份Java架构师学习资料

640

点击「阅读原文」一起搞技术,爽~

Java技术栈
关注
BurpSuite插件(BP插件、武装BP)
墨痕诉清风的博客
03-07 2178
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1231
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
各个版本fastJson_jar包最新版
10-17
各个版本fastJson_jar包最新版,方便各位学习,交流互用
【Linux】升级FastJSON版本-jar
m0_52985087的博客
07-09 1622
在长期运行的应用服务器上,近期的安全漏洞扫描揭示了fastjson组件存在潜在的安全隐患(FastJSON是一个Java 语言实现的 JSON 解析器和生成器。FastJSON存在远程代码执行漏洞,恶意攻击者可以通过此漏洞远程执行恶意代码来入侵服务器)。为解决这一漏洞,解决方案是对fastjson版本的升级,以增强系统的安全性。为了避免因重新打包整个应用带来的不便与效率损失,我们采取了一种更为灵活的更新策略——直接在生产环境中升级fastjson至最新稳定版本。
Fastjson反序列化漏洞
最新发布
qq_50296568的博客
08-09 1183
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
fastjson最新版本库1.2.47
12-25
fastjon最新版本库1.2.47,分享资源,一起学习。
fastjson最新版本jar包
07-21
fastjson最新版本jar包 fastjson-1.2.14.jar
FASTJSON 2.0 新版本
Dily_Su的博客
05-05 9357
FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。
2023最全黑客工具合集(附github地址)
weixin_70257503的博客
03-06 6430
首先,恭喜你发现了宝藏。本文章集成了2023全网优秀的开源攻防武器项目
58天象反入侵体系建设实践
disdouble的博客
08-24 1526
总体结构下图是天象反入侵体系的整体架构图图:天象反入侵架构体系1.最上面是外网环境,每条访问到58平台的流量通过核心交换机转发到集团内网的Nginx集群上。2.下面是内网环境,流量通过Nginx网关会均衡转发到各个业务服务器的集群上,业务处理完成之后再把响应通过ngixn返回给用户。3.内网环境的右面就是整个天象反入侵体系,从组成结构上分为三部分,黄色主题是数据采集部分,通过自研的数据传感器采集58机房内的各种网络设备或终端的日志数据;蓝色主题是数据检测部分,负责对收集的数据进行规则检测。
开发知识点-LBS用户位置Redis-GEO附近人/店铺
aming小老弟
10-17 629
【代码】解决方案-用户位置GEO附近人/店铺。
fastjson的jar包 1.2.44 2017年12月最新版本
01-02
阿里巴巴公司研发的fastjson1.2.44的jar包,新鲜热乎便宜好用
fastjson1.2.67 2020年最新版.rar
03-28
Alibaba发布的最新版本Fastjson1.2.67已经防御此漏洞;只需要下载fastjson-1.2.67.jar包更新即可。
fastjson最新版2016/4/18
08-19
比Gson更快速地解析
最新版fastjson-2.0.4.jar
06-22
最新版fastjson-2.0.4.jar,阿里巴巴旗下现最流行的json转换工具包。详细操作使用,请参考我的文章链接:https://blog.csdn.net/qq_45978154/article/details/125004445?spm=1001.2014.3001.5502
最新版fastjson
07-22
json,fastjson,jsonobject,jsonarray,JSON,最新版本fastjosn
Fastjson 2 来了,性能继续提升,还能再战十年
weixin_45727359的博客
04-23 769
FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。FASJTONS2代码 https://github.com/alibaba/fastjson2/releases/t...
fastjson最新版本_Fastjson 新版本发布即爆出严重漏洞,华为云WAF可提供防护
weixin_39775577的博客
11-30 1796
华为云安全团队监测到,虽然Fastjson 1.2.67版本在3月22日刚刚发布,增强了部分autoType安全黑名单,但仍有部分Gadgets相关类(shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus)未加入到黑名单中,这些Gadgets可造成Fastjson的反序列化漏洞。攻击者利用特定的请求可以触发远程代码执行,攻...
FastJson远程命令执行漏洞
PassionNingG的博客
09-03 1400
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。文章内容多来于如有侵权立删。# FastJson远程命令执行漏洞学习笔记fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
fastjson代码执行漏洞
09-21
然而,在Fastjson 1.2.48之前的版本中存在代码执行漏洞。这个漏洞的原理是,Fastjson1.2.24版本后引入了反序列化白名单机制,但攻击者可以构造特殊的json字符串来绕过白名单检测,从而执行任意命令。这个漏洞的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值