Fastjson绕过技巧与编程学习

最新推荐文章于 2024-09-14 13:45:14 发布
最新推荐文章于 2024-09-14 13:45:14 发布
阅读量333 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 学习 网络 安全 编程学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CqppDeveloper/article/details/133137291
本文详细介绍了Fastjson的反序列化漏洞及其可能的安全风险,包括执行任意代码的可能性。针对这一问题,文章提出了两种有效的绕过技巧:禁用AutoType特性以及使用白名单控制反序列化过程,以增强应用安全性。通过代码示例,阐述了如何实施这些策略,帮助开发者理解和防止Fastjson的安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Fastjson是一款流行的Java JSON处理库,广泛应用于各种Web应用和服务端开发中。然而,正如其他任何软件库一样,Fastjson也可能存在安全漏洞。其中一个安全问题是Fastjson中的反序列化漏洞,可以被攻击者利用来绕过一些安全措施。在本文中,我们将探讨一种常见的Fastjson绕过技巧,并提供相应的代码示例。

  1. Fastjson反序列化漏洞概述
    Fastjson反序列化漏洞可以被滥用来执行任意代码,可能导致严重的安全后果。这种漏洞通常由于Fastjson默认启用了自动类型检测而引起的。攻击者可以构造一个恶意的JSON字符串,其中包含一个特殊设计的Java对象,以触发Fastjson的反序列化过程。通过利用Java反射机制,攻击者可以在反序列化期间执行任意代码。

  2. Fastjson绕过技巧
    为了防止Fastjson反序列化漏洞的滥用,可以采取以下技巧之一:

2.1. 禁用AutoType特性
Fastjson提供了一个名为"autoTypeSupport"的特性,用于启用或禁用自动类型检测。禁用自动类型检测可以有效地防止Fastjson反序列化漏洞的利用。下面是一个示例代码片段,演示了如何在Fastjson中禁用AutoType特性:

ParserC
了解本专栏 订阅专栏 解锁全文
[享学Jackson] 二十二、JacksonFastjson的恩怨情仇(完结篇)
架构师:通透,才能写出好代码!
02-07 9579
毋庸置疑,Jackson是全球范围内最为流行的JSON库,但`Fastjson`背靠大树阿里,在中国积累了不少“忠粉”,流行程度也不容小觑,甚至大有中国最流行的JSON库之趋势。 对于`JacksonFastjson`是很多同学茶余饭后常讨论的小话题,毕竟正面相争必有些江湖恩怨。本文**不会带有个人意见**去对比这两个大作,因为感觉自己还不够格。所以我仅作为知识的搬运工,搜集一些资料展示给大家,省得同学们跑动跑西弄得晕头转向。
Fastjson 反序列化漏洞(CVE-2017-18349)
qq_68163788的博客
06-19 1134
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson-autotype-bypass-demo:fastjson 1.2.68版本自动键入绕过
03-08
fastjson-autotype-bypass-demo fastjson 1.2.68版本有限制自动类型绕过 参考 《 fastjson 1.2.68自动键入绕过反序列化细分小工具的一种挖掘思路》: ://b1ue.cn/archives/382.html 《 fastjson 1.2.68最新版本有限制自动键入绕过》: ://b1ue.cn/archives/348.html
高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞
慌途L
06-12 3530
前言 Fastjson <=1.2.68版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。 漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。 本次漏洞发现,其autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。 漏洞实际造成的危害 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕
fastjson-小于1.2.47绕过
08-02 1322
看第二个位置能否利用,是在loadClass里面,我们可以看到这个loadClass用法就是,在缓存中没找到的类加载时把这个类加进缓存中。可以看到loadClass的方法,被替换了,主要的安全逻辑就在替换的方法里,跟进看替换的方法。在上面分析时,我们也能注意到,在loadClass中有对传入类名的处理,对数组类进行处理,把。而MiscCodec的利用就是在加载默认的反序列化器时,Class的反序列化器也是它。所以绕过思路有了,我们先反序列化一个Class,它的值为恶意类,之后再反序列化恶意类。
Fastjson 1.80绕过分析
热门推荐
钞sir的博客
06-03 1万+
我欠缺缘分 情如落日渐昏暗
记一次实战中对fastjson waf的绕过
2401_83799022的博客
09-14 1100
最近遇到一个fastjson的站,很明显是有fastjson漏洞的,因为@type这种字符,fastjson特征很明显的字符都被过滤了。猜测后端逻辑是把代码分别拿去了unicode和16进制解码,但是直接单独解码会乱码的,而fastjson的逻辑是一个字符一个字符解码。因为json任然会反序列化我们的对象,那就必然涉及到反序列化字段,构造对象的过程。最后是使用双重编码绕过的,因为编码的逻辑是失败到对应的字符就去编码。可以看到有不同的处理,对应的支持unicode和16进制编码。对key处理的逻辑如下。
fastjson不同版本反序列化payload
最新发布
01-04
尽管如此,仍需警惕新发现的绕过技巧或是第三方组件间接引入的风险点。 对于开发者而言,建议始终保持最新稳定版更新频率,遵循官方文档指导配置安全选项;而对于研究人员来说,则要持续关注社区动态和技术博客...
【高级策略】:处理大型JSON结构的FastJson解决方案
[【高级策略】:处理大型JSON结构的FastJson解决方案](https://mmbiz.qpic.cn/mmbiz_jpg/pH5fZ5lvwwYzb3g2nasbFOUryPnPklSEELsjhGtxIMJLIn8hNLV2G3EpnpZGYTB1dJY0IHXI36qJibY07vchGicQ/0?wx_fmt=jpeg) # 1. 理解大型...
Java内存马网络安全技术面试精华
26. 高级攻击技术:包括Padding Oracle Attack、Fastjson绕过原理,以及利用非readObject函数引发的反序列化攻击。 27. 防御和对抗:面试者需谈论RASP(Runtime Application Self-Protection)的概念、原理以及对抗...
FastJson库的不同版本源码中对比学习绕过方法
阿道夫的博客
02-20 1068
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
fastjson-bypass-autotype-1.2.68:fastjson使用Throwable和AutoCloseable绕过自动类型1.2.68
03-08
fastjson-bypass-autotype-1.2.68 fastjson因为exceptClass期望类的特性导致可以通过AutoCloseable和Throwable绕过自动类型。 复现 运行org.chabug.fastjson.DemoApplication ,访问 自动关闭绕过 POST /parseObject HTTP/1.1 Host: test.local:8082 Connection: close Content-Type: application/json Content-Length: 131 { "@type":"java.lang.AutoCloseable", "@type": "org.chabug.fastjson.exploit.ExecCloseable", "domain": "y4er.com | calc" } 可投掷绕过
它又来了!Fastjson 被发现其用于安全控制的开关autotype限制可被绕过...你方了没?...
程序猿DD
05-30 3754
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!来源 |https://www.anquanke.com/post/id/2070290x01 漏洞背...
Java代码审计&FastJson反序列化&利用链跟踪&动态调试&autoType绕过
qq_46081990的博客
01-16 2059
本文深入分析了FastJson历史版本漏洞的利用链,使用IDEA动态跟踪调试,介绍了各版本不同CC链的关键执行流程及对应Poc的构造思路,另外还介绍了针对FastJson不同版本防御手法的绕过思路等等。
FastJsonAutoType反序列化漏洞
qq_53058639的博客
02-20 1703
Fastjson
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_60667010的博客
06-24 431
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照下面的知识点去找对应的学习资源,保证自己学得较为全面。观看全面零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。TypeUtils. loadClass() 根据传入的类名,生成类的实例。
Redis使用Fastjson2序列化方案(解决AutoType问题)
qeqw787的博客
07-20 5021
因为fastjson升级到2后,AutoType默认是关闭的,需要添加类名到拦截器才可以正常转换类型,但是我们使用Fastjson2作为Redis的序列化工具时非常不方便!
Fastjsonautotype is not support
pleaseprintf的博客
04-13 2232
前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,看懂了就去分享给你的码吧。打开AutoType功能在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能是受限的,和之前的版本不同,如果在升级的过程中遇到问题,可以通过以下方法配置。注意:如果配置了safeMode,配置白名单也是不起作用的。一、添加autotype白名单在代码中配置如果有多个包名前缀,分多次addAccept加上JVM启动参数。
fastjson升级版本遇到的问题
weixin_30552811的博客
03-27 1691
fastjson升级版本遇到的问题 前面的话: 有关阿里的fastjson升级时遇到的问题,链接如下 https://github.com/alibaba/fastjson/wiki/enable_autotype 我要说的,是我碰到这个问题时的一些处理 1、问题描述: 我所在的项目组是使用的微服务架构,我们组只负责我们自有模块,其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值