探索Fastjson-1.2.47-RCE:一个强大的JSON处理库的安全与利用

最新推荐文章于 2025-05-28 23:51:12 发布
最新推荐文章于 2025-05-28 23:51:12 发布
阅读量329 收藏
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00045/article/details/137065713
版权
本文探讨了Fastjson1.2.47版本的RCE漏洞,介绍了其功能、安全风险以及如何通过更新和安全配置来避免。强调了在享受JSON处理库便利性的同时,开发者需关注安全问题并及时采取措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

探索Fastjson-1.2.47-RCE:一个强大的JSON处理库的安全与利用

去发现同类优质开源项目:https://gitcode.com/

Fastjson是一个由阿里巴巴开发的高性能Java JSON库,它允许用户在Java对象和JSON数据之间进行快速转换。然而,任何流行的库都可能有其安全问题, Fastjson-1.2.47版本中的远程代码执行(RCE)漏洞就是这样的例子。

项目简介

Fastjson不仅仅是一个普通的解析和生成JSON的工具,它还提供了丰富的API以适应各种场景。比如,它可以将JSON字符串直接映射到Java对象,也可以反向操作,将Java对象转化为JSON。这使得在Web应用、微服务间的数据交换或者存储中,Fastjson成为了一个极其便捷的解决方案。

技术分析

此次被提及的漏洞是CVE-2018-11369,影响Fastjson的1.2.47版本。该漏洞源于parseObjectparseArray方法,当遇到恶意构造的JSON字符串时,攻击者可以通过特定的语法触发远程代码执行。这是一个非常严重的问题,因为它可能导致服务器被完全控制。

尽管该漏洞已被修复,但我们仍然可以从中学习如何避免类似的陷阱,并提升我们的安全性意识。对开发者来说,及时更新库到最新稳定版是防止这类攻击的关键步骤。对于使用者,了解并理解潜在风险可以帮助做出更明智的选择。

应用场景

  • Web应用开发:在前后端交互中,Fastjson可以轻松地将JSON数据转换为Java对象或反之,大大简化了数据处理流程。
  • RESTful API设计:在微服务架构中,JSON是主要的数据交换格式,Fastjson能高效处理大量JSON数据。
  • 数据存储与读取:如果数据库字段包含JSON格式的内容,Fastjson可以直接序列化/反序列化这些数据,无需额外的解析过程。

特点

  • 高速度:Fastjson设计目标是提供接近JDK内置JSON解析器的速度,经过优化后,性能表现优秀。
  • 轻量级:没有过多依赖,方便集成到各种项目中。
  • 强大功能:支持自动类型匹配,可以将JSON数据直接转成Java对象,反之亦然。
  • 社区活跃:作为开源项目,Fastjson有活跃的社区支持,持续改进和修复问题。

使用建议

尽管Fastjson具有许多优点,但每个软件都有可能存在安全隐患。因此,我们强烈建议您使用最新的安全版本(当前应该是高于1.2.47的版本),并在项目中启用安全配置,例如输入验证和白名单策略,以降低潜在的风险。

总结,Fastjson是一个强大的工具,但在享受其便利性的同时,我们也应意识到网络安全的重要性。保持对新版本的关注,及时更新,并采取适当的安全措施,是我们每个开发者都需要做的功课。让我们一起打造更安全、更可靠的软件环境吧!

去发现同类优质开源项目:https://gitcode.com/

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

技术分享 | Fastjson-RCE漏洞复现
Jeeseen123的博客
05-26 555
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。 当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。 影响版本 Fastjson1.2.47以及之前的版本 复现 1.1 环境准备 攻击机1 用于接受反弹shell 系统:Win10 x64 安装nc,burpsuit
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3565
Fastjson 1.2.47反序列化漏洞复现
fastjson-1.2.66版 2020年最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #2866 修复纳秒级 Timestamp 解析异常问题 #2894 日期自动识别增强对纳秒时间的支持的 支持对Queue类型的反序列化 修复JSONField 在LocalDateTime类型时 format 不生效问题 修复JSONValidator有些场景不能识别非法JSON数据的问题 #3017 加强安全防护
安全版本fastjson
karlif的博客
10-27 1040
记录一下安全版本fastjson
FastJson-安全
xlsj雪松的博客
01-03 4592
1 FastJson介绍 FastJson的主要功能就是将Java对象序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把一个Java对象转换成字符串,有两种选择: 1)基于属性 fastjson引入了AutoType,即在序列化的时候使用@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型。 2)基于setter/getter 当我们要对他进行序列化的时候,fastjson会扫描其中的getter方法,即找到getName和getFrui
推荐项目:Fastjson-Blacklist - 安全增强版Fastjson
gitblog_00042的博客
04-25 458
推荐项目:Fastjson-Blacklist - 安全增强版Fastjson 去发现同类优质开源项目:https://gitcode.com/ 是一个基于阿里巴巴开源的 Fastjson安全增强版本,旨在为开发者提供更安全、可控的数据序列化反序列化体验。Fastjson一个Java语言编写的高性能功能完备的JSON库,而Fastjson-Blacklist则在此基础上添加了针对某些已知漏...
autotype安全 fastjson_Fastjson 安全更新,建议升级到 1.2.28 或更新版本
weixin_39640008的博客
12-22 1016
安全升级公告最近发现 fastjson1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本。更新方法1. Maven 依赖配置更新通过 maven 配置更新,使用最新版本,如下:com.alibabafastjson1.2.282. 直接下载常见问题1. 升级遇到不兼容问题怎么办?1.2.28 已经修复了绝大多数兼容问题,但是总会有一些特殊的用法...
Fastjson1.2.47以及之前的所有版本
10-26
**Fastjson一个高效、强大的Java JSON库** Fastjson是阿里巴巴开发的一个开源项目,它是一个Java语言编写的高性能功能完备的JSON库。Fastjson能够将Java对象转换为JSON字符串,也能将JSON内容转换为对应的Java...
2024年Fastjson开启安全模式5种方法(VIP典藏版)(1),2024年最新网络安全开发热门前沿知识
05-10 1707
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Fastjson开启安全模式5种方法(VIP典藏版)
慕白Lee的博客
06-08 1万+
一、Fastjson漏洞事件始末 1、AutoType 2、AutoType是谁-为啥使用-为啥出错 3、目前已升级至1.2.83 二、打开SafeMode功能 1. 在代码中配置 2. 加上JVM启动参数 3. 通过fastjson.properties文件配置。 4. safeMode场景如何做autoType 5. 怎么判断是否用到了autoType 6. 使用JSONType.autoTypeCheckHandler......
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 2985
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
组件安全(Solr、Shiro、Log4j、Jackson、FastJson、XStream)
weixin_65049289的博客
04-13 1274
常见组件安全
【Linux】升级FastJSON版本-jar
m0_52985087的博客
07-09 3028
在长期运行的应用服务器上,近期的安全漏洞扫描揭示了fastjson组件存在潜在的安全隐患(FastJSON一个Java 语言实现的 JSON 解析器和生成器。FastJSON存在远程代码执行漏洞,恶意攻击者可以通过此漏洞远程执行恶意代码来入侵服务器)。为解决这一漏洞,解决方案是对fastjson版本的升级,以增强系统的安全性。为了避免因重新打包整个应用带来的不便效率损失,我们采取了一种更为灵活的更新策略——直接在生产环境中升级fastjson至最新稳定版本。
建议将com.alibaba:fastjson升级至1.2.83
热门推荐
闫玉林的博客
02-25 1万+
【代码】存在安全漏洞,建议将com.alibaba:fastjson升级至1.2.83。
【HW系列】—Log4j2Fastjson、Shiro漏洞流量特征
最新发布
2402_84408069的博客
05-28 1009
本文分析了Log4j2Fastjson和Shiro漏洞的流量特征分析及检测方法。Log4j2漏洞主要体现为JNDI协议注入、编码混淆和多阶段攻击流量,检测需关注异常外联行为和日志中的JNDI字符串。Fastjson漏洞特征集中在JSON反序列化机制,表现为@type字段注入、JNDI标识和异常响应状态码。防御建议包括升级安全版本、输入过滤、网络隔离等。文章强调技术研究目的,禁止非法使用,旨在帮助安全人员提升漏洞检测防御能力。
【漏洞分析】Fastjson最新版本RCE漏洞
anquan2233的博客
11-13 1595
顺着这个思路,我们继续在ObjectDeserializer接口的其他子类中寻找expectClass非空的checkAutoType调用,发现在子类ThrowableDeserializer的函数deserialze中也存在满足条件的调用。而Gson不是这么做的,它是通过反射遍历该类中的所有属性,并把其值序列化为Json。从以上现象中我们得知,当一个类中包含了一个接口(或抽象类)的时候,使用Fastjson进行序列化,会将子类型抹去,只保留接口(抽象类)的类型,使得反序列化时无法拿到原始类型。
安全问题我们需要重视,立刻升级fastjson2
詹Sir的博客
06-13 1365
fastjson、jackson 都支持 AutoType 功能,这个功能在序列化的 JSON 字符串中带上类型信息,在反序列化时,不需要传入类型,实现自动类型识别。很多时候,root对象是可以知道类型的,里面的对象字段是基类或者不确定类型,这个时候不输出root对象的类型信息,可以减少序列化结果的大小,也能提升反序列化的性能。fastjson2 在性能和安全上都得到了很好的提升,开源字节开快速开发平台已经完成了升级,代码改动较大,fork了我们仓库的同学请及时更新,安全无小事,请慎重。
linux怎么看fastjson版本,Fastjson 安全更新,建议升级到 1.2.28 或更新版本
weixin_35696071的博客
05-01 2676
安全升级公告最近发现 fastjson1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本。更新方法1. Maven 依赖配置更新通过 maven 配置更新,使用最新版本,如下:com.alibabafastjson1.2.282. 直接下载常见问题1. 升级遇到不兼容问题怎么办?1.2.28 已经修复了绝大多数兼容问题,但是总会有一些特殊的用法...
Fastjson1.2.47版本安全漏洞及修补建议
Fastjson1.2.47是该库的一个版本号。在IT行业,尤其是在Java开发领域,了解和掌握各个版本的库及其更新内容是非常重要的。在处理Fastjson1.2.47以及之前版本时,开发者需要注意以下几个方面: 1. 安全性问题:通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

仰北帅Bobbie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值