FastJson 1.1.26升级到1.2.58后出现的问题

最新推荐文章于 2025-07-03 18:13:00 发布
最新推荐文章于 2025-07-03 18:13:00 发布
阅读量7.1k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 生命的意义 java 文章标签: FastJson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chinassj/article/details/93846323
在将FastJson从1.1.26升级到1.2.58后,由于存在高危的代码执行漏洞,集团要求更新版本。升级后各系统出现错误,问题主要涉及序列化和反序列化。尽管服务层返回的数据在测试环境中正常,但在控制器层无法正确反序列化list<Map<String, Object>>。目前的临时解决方案是将数据类型改为String,但面对大量接口,寻求更优策略。" 6339896,215247,SQL Server处理除数为0情况的方法,"['SQL Server', '数据库', '查询语句']

fastjson曝出代码执行漏洞,恶意用户可利用此漏洞进行远程代码执行,入侵服务器,漏洞评级为“高危”。

 

风险:高风险
方式:黑客通过利用漏洞可以实现远程代码执行
影响:1.2.24及之前版本
安全版本:>=1.2.28

 

集团强制要求更新jar包版本,然后各个系统出现各种错误

参考:https://www.cnblogs.com/shoren/p/fastjson.html

参考:https://www.v2ex.com/t/348227

参考:https://blog.youkuaiyun.com/weixin_34049948/article/details/85203048

参考:https://blog.youkuaiyun.com/heidou_2016/article/details/89210436

以上都看了一下

因为自身项目特殊性,controller层和service层这两层分别部署在不同的服务器,所以问题和上面都不一样

但是看出来了,是有关序列化和反序列化的问题,因为无论service层还是controller层都没有问题,本地开发环境也没有问题,只有到了两台测试服务器(controller,services分层),就发现service层返回的结果list<Map(String,Object)>正确,但是controller却取不到,

list

最低0.47元/天 解锁文章

新学期VIP享超值加赠
FastJson远程命令执行漏洞
PassionNingG的博客
09-03 1529
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。文章内容多来于如有侵权立删。# FastJson远程命令执行漏洞学习笔记fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
最新的fastjson 1.2.58 JAR库
05-08
com.alibaba.fastjson.JSON jar库 最新的版本号为1.2.58。需要的自行下载
fastjson-1.1.26.chm
09-26
附件是Java中使用的JSON解析工具,fastjson为阿里巴巴发布的开发工具。非常方便。
fastjson-1.2.58.rar
08-13
近日阿里云官方发布安全公告,Fastjson1.2.30及以下版本,以及1.2.411.2.45版本 存在远程代码执行0day漏洞,要求升级到最新版1.2.58
Fastjson漏洞
最新发布
Rozooj的博客
07-03 339
Fastjson autoType处理json对象时,未对@type字段进行安全的校验,导致攻击者可以传入危险类,并调用危险类连接远程的RMI主机,通过其中恶意类执行代码,造成RCE。Fastjson本质就是调用get和set方法,get和set方法就是所谓的javabean,利用fastjson自动调用get set方法间接的调用(jndi注入)因为在fastjson中有一个全局缓存,在类加载的时候,如果autotype没开启会先尝试从缓存中获取类,如果缓存中有,则直接返回。7. 开启端口监听。
fastjson1.2.58版本解析异常
qq_1411的博客
10-17 1420
本人项目用的fastjson就是1.2.58,突然接到通知说fastjson版本要升级,很纳闷为啥要升级 ,然后就问度娘,度娘给的解释 public class FastJsonTest { public static void main(String[] args) { String str = "{\"g\":\"\\x"; Object obj ...
解决fastjson1.1.41升级1.2.28后报错问题详解
10-15
然而,随着软件版本的迭代,开发者有时会遇到升级Fastjson时出现的问题。本篇文章将详细探讨从1.1.41版本升级1.2.28版本后,可能导致的报错情况及其解决方案。 在Fastjson 1.1.41版本中,`FastJson...
漏洞预警 | Fastjson远程代码执行0day漏洞
程序IT圈
07-25 329
点击上方“程序IT圈”,选择“置顶公众号”每天早晨8点50分,第一时间送达!本文整理于阿里社区前段时间,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞...
世平信息关于Fastjson反序列化远程命令执行漏洞的预警
shipinginfo的博客
07-18 773
声明:本文关于详细升级方法部分引用至 GitHub 查看原文链接:http://suo.im/4DzZ0M 背景介绍 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库。采用独创的算 法,将 parse 的速度提升到极致,超过所有 json 库,包括曾经号称最快的 jackson。并且还超越了 google 的二进制协议 protocol buf。 1.1 漏洞...
最新的fastjson 1.2.58 源代码
05-08
com.alibaba.fastjson.JSON 源代码 最新的版本号为1.2.58。需要的自行下载
fastjson-1.1.26api
01-08
fastjson-1.1.26api :java开发非常好用的json转换工具 https://github.com/alibaba/fastjson
fastJson_jar包 1.2.57最新版本
04-21
Fastjson is a Java library that can be used to convert Java Objects into their JSON representation. It can also be used to convert a JSON string to an equivalent Java object. Fastjson can work with arbitrary Java objects including pre-existing objects that you do not have source-code of.
fastjson-1.1.58.android
07-31
解析Json数据
fastjson.zip
05-08
fastjson-1.2.58 javadoc、sources fastjson-1.2.58 javadoc、sources fastjson-1.2.58 javadoc、sources
Fastjson漏洞总结
weixin_46622976的博客
07-12 1170
Fastjson系列漏洞实战和总结
fastjson <=1.2.68 远程代码执行漏洞 学习
西米安全
06-08 929
fastjson <=1.2.68 远程代码执行漏洞 学习1、 MAC 2、Java版本为 1.8.0_261 。 3、Mysql版本为 5.7 。我用的是PHPstudy集成的。 4、IDEA版本随意。创建一个spring 项目mavc pom.xml引用fastjson 创建demo_fastjson.java 输出 通过 前面已经说到如何去利用,所以这里需要寻找一个子类或实现非常多的类或接口都行,在实际中还是主要看checkAutoType方法中,有哪些对象或接口可以通过校验,实际测试中存在如下几种:
Fastjson 1.2.26 api
macleo的路
03-19 157
编码EUC_CN的不可映射字符 VM设置行中加入以下代码 -encoding utf-8 -charset utf-8 [color=red]下了fastjson的源码,导出一份api ,供自己和他人参阅[/color]
FastJSON 远程执行漏洞,速速升级
Java技术栈,分享最主流的Java技术
07-20 3514
相信大家用 FastJSON 的人应该不少,居然有漏洞,还不知道的赶紧往下看,已经知道此漏洞的请略过……2019年6月22日,阿里云云盾应急响应中心监测到FastJSON...
Fastjson发布1.2.58版修复远程代码执行漏洞
为了防范这一安全问题,阿里云官方强烈建议用户升级Fastjson到最新版,即版本1.2.58。新版本修复了旧版本中存在的安全漏洞,因此使用最新版本能够大大降低被攻击的风险。在进行升级时,需要考虑到现有系统中Fastjson...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shaun-sheng

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值