FastjsonScan 使用教程

最新推荐文章于 2024-08-08 07:47:18 发布
最新推荐文章于 2024-08-08 07:47:18 发布
阅读量829 收藏 17
点赞数 21
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00819/article/details/141010679
版权

FastjsonScan 使用教程

项目地址:https://gitcode.com/gh_mirrors/fas/FastjsonScan

项目介绍

FastjsonScan 是一个用于检测和利用 Fastjson JSON 解析器漏洞的工具。Fastjson 是一个在 Java 生态中广泛使用的 JSON 处理库,但由于其高效性能,也伴随着一些安全漏洞。FastjsonScan 旨在帮助开发者快速识别和修复这些漏洞,确保应用的安全性。

项目快速启动

以下是 FastjsonScan 的快速启动指南,包括安装和基本使用方法。

安装

  1. 克隆项目仓库到本地:

    git clone https://github.com/Maskhe/FastjsonScan.git
cd FastjsonScan

  2. 构建项目(假设你已经安装了 Maven):

    mvn clean install

  3. 运行 FastjsonScan:

    java -jar target/FastjsonScan-1.0-SNAPSHOT.jar

基本使用

FastjsonScan 提供了命令行界面,以下是一些基本命令:

  • 扫描单个 URL:

    java -jar target/FastjsonScan-1.0-SNAPSHOT.jar -u http://example.com

  • 批量扫描多个 URL:

    java -jar target/FastjsonScan-1.0-SNAPSHOT.jar -f urls.txt

应用案例和最佳实践

FastjsonScan 在实际应用中可以帮助开发者快速发现和修复 Fastjson 相关的安全漏洞。以下是一些最佳实践:

  1. 定期扫描:建议定期使用 FastjsonScan 对应用进行扫描,特别是在 Fastjson 发布新版本后。
  2. 集成到 CI/CD 流程:将 FastjsonScan 集成到持续集成和持续部署流程中,确保每次代码提交都能自动进行安全检查。
  3. 结合其他安全工具:FastjsonScan 可以与其他安全扫描工具结合使用,形成更全面的安全防护体系。

典型生态项目

FastjsonScan 作为 Fastjson 漏洞检测工具,可以与以下生态项目结合使用:

  1. Burp Suite:通过编写 Burp Suite 插件,将 FastjsonScan 的功能集成到 Burp Suite 中,实现更全面的 Web 应用安全扫描。
  2. OWASP ZAP:结合 OWASP ZAP 进行更广泛的 Web 应用安全测试。
  3. Jenkins:通过 Jenkins 插件,将 FastjsonScan 集成到自动化构建和部署流程中,实现自动化的安全扫描。

通过以上介绍和指南,希望你能快速上手 FastjsonScan,并在实际项目中有效利用它来提升应用的安全性。

FastjsonScan 一个简单的Fastjson反序列化检测burp插件 FastjsonScan 项目地址: https://gitcode.com/gh_mirrors/fas/FastjsonScan

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

【神兵利器】——206、Burpsuite之FastjsonScan
Fly_鹏程万里
10-25 342
FastjsonScan是一个简单的Fastjson反序列化检测burp插件,项目地址:​​​​​​https://github.com/Maskhe/FastjsonScan使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan】将这个请求发送到Fastjson Scan,然后就只需要等待扫描结束FastjsonScan扫描结果界面:如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏
BurpSuite插件(BP插件、Burp插件、武装BP)
墨痕诉清风的博客
03-07 3518
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
BurpSuite插件 -- FastjsonScan(反序列化检测)
Web安全工具库
12-24 7530
你可以因为现任不好二分手,但千万不要认为别人更好,永远有人更好,眼下便是更好。。。 ---- 网易云热评 一、插件介绍: 一个简单的Fastjson反序列化检测burp插件,我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 二、...
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan
gitblog_00045的博客
05-16 1436
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan 项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan 在今天这个高度数字化的时代,数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱。然而,随之而来的是频繁出现的安全隐患。为此,我们向您推荐一款强大且持续更新的漏洞探测工...
BurpFastJsonScan:一款基于BurpSuite的被动式FastJson检测插件
03-19
BurpFastJsonScan 一款基于BurpSuite的被动式FastJson检测插件 自言自语 据听说它的诞生是因为作者在实际项目由于不够细 没有每个json都尝试进行一次fastjson的突破检测 导致差点错过了三个目标预算,好在同事够细!!! :) 作者事后后悔不已 于是乎〜 它就诞生了 简介 BurpFastJsonScan一个希望能节省一些渗透时间好进行划水的扫描插件 该插件插件BurpSuite传进来的每个不同的域名+端口的json流量进行一次fastjson dnsLog出网检测 目前的功能如下 dnsLog出网检测(由于使用的是恶意payload所以能出来基本上该站就死了) 编译方法 这是一个java maven项目 :: /BurpFastJsonScan/pom.xml 安装完对应的包以后 编译文件地址:BurpFastJsonScan / out / artif
BurpSuite安装破解教程
菜鸟的自学之路
04-24 4315
手动破解安装 加载Jython环境
BurpSuite常用插件
最新发布
12-11
包含jython-standalone-2.7.1、AES_Killer、BpScan、burp-clj-0.5、BurpFastJsonScan-2.1.0-jdk1.8、BurpShiroPassiveScan_1.7.6、BurpShiroPassiveScan_moblie、chunked-coding-converter.0.2.1、FastjsonScan、...
Fastjson 漏洞利用技巧
05-08 2926
每次看到json数据包,都难免会想起Fastjson以及它多个版本存在的漏洞。如何实现自动化检测以及简化攻击步骤,从而提升漏洞发现能力,让你更有效率的Tips,在这里和大家分享下。01、自动化漏洞检测一款基于BurpSuite的被动式FastJson检测插件,这个插件会对BurpSuite传进来的带有json数据的请求包进行检测。Github项目地址:https://gi...
Fastjson扫描测试工具.rar
09-08
在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析
探索FastjsonScan:智能安全扫描工具,为你的JSON数据保驾护航
gitblog_00082的博客
04-12 510
探索FastjsonScan:智能安全扫描工具,为你的JSON数据保驾护航 FastjsonScan一个简单的Fastjson反序列化检测burp插件项目地址:https://gitcode.com/gh_mirrors/fas/FastjsonScan 是一个开源项目,旨在帮助开发者检测并预防使用Fastjson处理JSON时可能遭遇的安全问题。该项目基于Java语言编写,利用静态代码分析技术...
推荐项目:BurpFastJsonScan - 一款高效的JSON安全扫描插件
gitblog_00097的博客
04-09 664
推荐项目:BurpFastJsonScan - 一款高效的JSON安全扫描插件 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个专为网络安全研究人员和渗透测试人员设计的开源工具,它是一个Burp Suite扩展,用于检测JSON响应中的潜在安全漏洞。通过集成在Burp Suite中,此插件能够帮助用户快速有效地识别并利用可能存在的Fastjson反序列化漏洞。 技...
探索FastjsonScan:一款高效的JSON安全扫描工具
gitblog_00009的博客
04-21 498
探索FastjsonScan:一款高效的JSON安全扫描工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个轻量级、快速且强大的Java库,用于检测JSON对象中的潜在安全问题。该项目旨在帮助开发者在使用Fastjson库时,能够预先识别并预防可能导致代码注入等安全漏洞的问题。它通过深度解析JSON结构,进行详尽的安全检查,为开发过程添加了一层安全防护。 技术分...
探索FastjsonScan:一款高效且安全的JSON解析工具
gitblog_00012的博客
04-20 534
探索FastjsonScan:一款高效且安全的JSON解析工具 去发现同类优质开源项目:https://gitcode.com/ 是一个针对Java平台的开源项目,旨在提供一种快速、稳定且安全的方式来扫描和解析JSON数据。该项目源自阿里巴巴的Fastjson库,并对其进行扩展,增加了对潜在安全问题的检测功能。 技术背景与分析 Fastjson是Java领域广泛使用的JSON库,因其性能出色而备受...
FastjsonScan 项目使用教程
gitblog_00081的博客
08-08 396
FastjsonScan 项目使用教程 FastjsonScan一个简单的Fastjson反序列化检测burp插件项目地址:https://gitcode.com/gh_mirrors/fas/FastjsonScan 1. 项目的目录结构及介绍 FastjsonScan 项目的目录结构如下: FastjsonScan/ ├── src/ │ └── burp/ │ ├── Fa...
fastjsonScan
09-13
使用这个插件可以省去编写脚本或者搭配其他被动扫描器的麻烦。安装这个插件非常简单,只需要下载FastjsonScan.jar文件,并在Burp的Extender->Extensions栏中点击Add,选择下载好的jar文件即可。这个插件是基于Java的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

何蒙莉Livia

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值