Fastjson反序列化漏洞

最新推荐文章于 2025-03-24 22:45:05 发布
最新推荐文章于 2025-03-24 22:45:05 发布
阅读量1.4k 收藏 27
点赞数 41
文章标签: 安全 web安全 网络安全 json java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_50296568/article/details/141056194
版权

文章目录

Fastjson反序列化漏洞

一、Fastjson历史漏洞

  1. 任意文件读取(CVE-2019-12086):使用了jackson-databind 2.x before 2.9.9的Java应用,如果ClassPath中有com.mysql.cj.jdbc.admin.MiniAdmin(存在于MySQL的JDBC驱动中)这个类,那么Java应用所在的服务器上的文件,就可能被任意读取并传送到恶意的MySQL Server。
  2. DOS攻击漏洞(CVE-2017-18386):在Fastjson 1.2.41之前的版本中,存在一个类型转换漏洞,它允许攻击者执行拒绝服务(DoS)攻击。CVE-2017-18386 的核心问题与 FastJSON 处理深度嵌套的 JSON 数据的方式有关。当 FastJSON 尝试解析具有过度嵌套的 JSON 数据时,可能会进入递归处理循环,从而耗尽栈内存,导致栈溢出。此栈溢出可能会导致 Java 应用程序崩溃或变得无响应,从而有效地导致拒绝服务。
  3. 远程代码执行(RCE)漏洞(CVE-2022-25845):影响版本为 1.2.83 之前的版本。FastJSON 漏洞的核心问题在于 “AutoType” 功能。AutoType 是一种机制,允许 JSON 解析器在反序列化过程中自动识别并实例化 Java 类。该漏洞允许攻击者利用 AutoType 机制实例化 classpath 中的任意类,随后利用这些类执行恶意代码。

一、CVE-2019

最低0.47元/天 解锁文章
B1ackMa9ic
关注
fastjson反序列化漏洞
qq_73792226的博客
08-15 856
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
Fastjson漏洞利用合集
2301_76786857的博客
03-07 1803
FastJson 是Alibaba 的一款开源Json解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞
【渗透测试】Fastjson 反序列化漏洞原理(一)
最新发布
SunnyCat
03-24 1091
反序列化漏洞是指攻击者通过构造恶意的 JSON 数据,使得反序列化过程执行了未经授权的代码。这通常发生在应用程序接受外部输入并将其反序列化为对象时,如果输入的数据格式不符合预期,或者应用程序没有适当地验证和过滤输入,攻击者可以注入恶意代码并执行。
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 6069
fastjson在解析json反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5465
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
Fastjson反序列化漏洞:深入探讨与安全防范
xycxycooo的博客
08-31 1801
通过本文的讲解,我们详细了解了Fastjson反序列化漏洞的原理、影响以及如何进行安全防范。Fastjson反序列化漏洞主要是由于Fastjson反序列化过程中,对输入数据的安全性验证不足,导致攻击者可以构造恶意JSON数据,触发反序列化操作,进而执行任意代码或命令。为了避免这类漏洞,可以采取升级Fastjson版本、禁用@type自动类型解析、使用白名单机制和输入验证等安全防范措施。希望本文能够帮助你更好地理解和应用Fastjson反序列化漏洞安全防范。如果你有任何问题或需要进一步的解释,请随时提问。
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3705
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 4万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
科普文:Java基础系列之【字节码应用案例Fastjson反序列化漏洞
为无为,事无事,味无味。
08-11 1200
transform方法利用Java的反射机制进行函数调用,传入的参数是input是一个实例化对象,利用这个方法便可以调用任意对象的任意方法(exec)从而执行命令,所以在DeSertPoc类里新建Transformer,最后组成的核心表达式为:((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("whoami");基于TemplateImpl的方法可以直接执行bytecodes。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值