java代码审计之fastjson反序列化漏洞

原创 已于 2024-05-30 21:03:25 修改 · 1.1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2024-05-30 14:49:13 首次发布

fastjson反序列化漏洞分析

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化。

1. Fastjson使用

  1. 新建一个maven项目,引入对应的依赖包
		<dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.24</version>
        </dependency>
  1. 新建一个类
package org.example;

import java.io.Serializable;

public class Person{
   
   
    private String name;
    private int age;
    private boolean sex;

    public Person() {
   
   
        System.out.println("执行构造函数方法");
    }

    public String getName() {
   
   
        System.out.println("执行获取到name方法");
        return name;
    }

    public void setName(String name) {
   
   
        System.out.println("执行到setage方法");
        this.name = name;
    }

    public int getAge() {
   
   
        System.out.println("执行获取到age方法");
        return age;
    }

    public void setAge(int age) {
   
   
        System.out.println("执行setage方法");
        this.age = age;
    }

    public boolean isSex() {
   
   
        return sex;
    }

    public void setSex(boolean sex) {
   
   
        System.out.println("执行到setSex方法");
        this.sex = sex;
    }
}
  1. json序列化
package org.example;

import com.alibaba.fastjson.JSON;

public class Main {
   
   
    public static void main(String[] args) {
   
   
        Person person = new Person();
        person.setName("小明");
        person.setAge(18);
        person.setSex(false);
        String jsonString = JSON.toJSONString(person);
        System.out.println(jsonString);
    }
}
//输出:{"age":18,"name":"小明","sex":false}
  • 不使用 SerializerFeature.WriteClassName:生成的 JSON 数据不包含类的全限定名。
  • 使用 SerializerFeature.WriteClassName:生成的 JSON 数据包含类的全限定名(以 @type 字段表示)。
package org.example;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.serializer.SerializerFeature;

public class Main {
   
   
    public static void main(String[] args) {
   
   
        Person person = new Person();
        person.setName("小明");
        person.setAge(18);
        person.setSex(false);
        String jsonString = JSON.toJSONString(person, SerializerFeature.WriteClassName);
        System.out.println(jsonString);
    }
}
//输出:{"@type":"org.example.Person","age":18,"name":"小明","sex":false}
  1. 反序列化

在fastjson中,使用JSON.parseObject进行反序列化,及将JSON字符串转化为对象

使用:

package org
最低0.47元/天 解锁文章

200万优质内容无限畅学
Java代码审计Fastjson反序列化漏洞详解
悦分享
09-16 2340
FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化Java Bean。“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。
fastjson反序列化漏洞
qq_73792226的博客
08-15 907
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
Fastjson反序列化漏洞
yyj1781572的博客
04-13 2248
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
Fastjson反序列化漏洞原理与防护指南
最新发布
2302_81945070的博客
05-29 1581
Fastjson漏洞 = 快递员太老实 + 说明书有毒只要升级版本、关闭危险功能,就能像拒绝陌生快递一样保护服务器安全。
Java代码审计-fastjson反序列化漏洞分析
qq_44780157的博客
08-08 2403
Fastjson反序列化漏洞各个版本的原理浅析。
FastJson反序列化系列漏洞分析
守拙的博客
08-29 3247
fastsjon 1.2.24-1.2.68 多个版本反序列化漏洞的分析复现
Fastjson反序列化漏洞深度解析与利用
Yu4xr的博客
12-07 1792
本文全面解析了Fastjson反序列化漏洞的原理、利用方式及修复方法,涵盖不同版本的漏洞绕过技巧和利用场景。
fastjson反序列化漏洞复现
weixin_58954236的博客
09-11 1489
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化Java对象时由于没有进行合理检查而导致的。
Fastjson反序列化漏洞:深入了解与防范】
10-23 358
Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。通过采取有效的防范措施,可以降低fastjson反序列化漏洞带来的安全风险。开发者应该及时关注安全公告,升级fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
Java代码审计反序列化漏洞
大河之犬的博客
03-25 1339
发送方必须将要发送的 Java 对象序列化为字节流,接收方则需要将字节流再反序列化,还原得到 Java 对象,才能实现正常通信。当攻击者输入精心构造的字节流被反序列化为恶意对象时,就会造成一系列的安全问题。在 Java 原生的API 中,序列化的过程由类的方法实现,反序列化过程由类的方法实现。将字节流还原成对象的过程都可以称作反序列化,例如,JSON 串或 XML 串还原成对象的过程也是反序列化的过程。同理,将对象转化成 JSON 串或 XML 串的过程也是序列化的过程。
fastjson 添加key value_.NET高级代码审计(第三课)Fastjson反序列化漏洞
weixin_39700215的博客
11-22 153
0X00 前言Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置方法JSON.ToJSON可以快速序列化.Net对象。让你轻松实现.Net中所有类型(对象,基本数据类型等)和Json之间的转换,fastjson是一个开源的Json.Net库,下载地址 ht...
fastjson反序列化漏洞利用
weixin_44414845的博客
07-13 1466
漏洞利用环境和payload参考君来自:环境搭建注意点:配置一个好的镜像源。fastjson docker环境启动和关闭。
Fastjson反序列化漏洞利用教程
weixin_38055730的博客
11-05 1173
Fastjson反序列化漏洞是一种高危安全漏洞,攻击者通过构造恶意的JSON字符串可以执行任意命令。此漏洞影响广泛,需要引起高度重视。通过本文的学习和实践,读者可以掌握Fastjson反序列化漏洞的基本原理、复现方法和利用技巧。
Fastjson 反序列化漏洞
m0_65150886的博客
10-10 997
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链Fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
Fastjson 反序列化漏洞利用总结
roukmanx的博客
12-19 1676
本篇文章对Fastjson漏洞利用的过程做个简单的记录。 背景: Fastjson是Alibaba开发的,java语言编写的高性能JSON库,采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。 其项目地址为https://github.com/alibaba/fastjson,其提供两个主要接口toJsonString和parseObject来分别实现序列化和反序列化。示例代码:...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
weixin_39517241的博客
11-30 2299
Fastjson是Alibaba开发的,Java语言编写的高性能Json库,号称Java语言中最快的Json库。针对Fastjson反序列化漏洞原理分析和Poc网上以及有很多,本文仅分享如何快速发现Fastjson反序列化漏洞,方便安全测试人员开展安全测试及修补漏洞。文章中涉及到的工具和源码仅供安全测试和学习使用,否则后果自负,与作者无关。0x01反序列化原理Fastjson反序列化,...
Java代码审计——Fastjson1.2.43反序列化漏洞
王嘟嘟的博客
03-01 4399
0x00 前言 反序列化总纲 1.2.24可参考:1.2.24fastjson 1.2.25-1.2.41 可参考:1.2.25 1.2.25-1.2.42 可参考:1.2.42 这篇就单纯划水~ 0x01 正文 在1.2.43中,修复了LL,但是又有新的东西可以利用,因为在loadclass中还会去处理"[“那么我们现在就可以通过”["进行绕过,先上payload再进行说明 String payload="{\"@type\":\"[com.sun.rowset.JdbcRowSetImpl\"[{,\"
深入理解FastJson反序列化漏洞利用
知识点三:FastJson反序列化漏洞具体利用方法 FastJson在处理某些特定输入数据时,可能会不安全地执行Java代码。具体来说,漏洞通常是由于FastJson在解析JSON数据时会查找并调用类路径中的特定方法,例如setter方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值