Tcsec安全研究院|fastjson漏洞分析

最新推荐文章于 2025-11-18 05:24:39 发布
原创 最新推荐文章于 2025-11-18 05:24:39 发布 · 2.1k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #网络安全 #安全漏洞

本文深入探讨了Fastjson的安全漏洞,包括版本探测、利用链分析以及不同版本的漏洞利用方法,如jackson的CVE-2017-7525和CVE-2020-36179,以及Fastjson的各种利用技巧,如DNSLOG探测和WAF规避策略。同时,文章提醒开发者关注Fastjson的安全更新,避免使用存在漏洞的旧版本。

fastjson漏洞分析

fastjson介绍

fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON 表示形式。它还可以用于将 JSON 字符串转换为等效的 Java 对象。Fastjson 可以处理任意的 Java 对象,包括没有源代码的预先存在的对象。
在这里插入图片描述

json -> bean

java 的核心就是对象的操作,fastjson 同样遵循这个原则利用get、set操作对象。将 User 对象转化为JSON字符串后,通过其提供的 parse() 方法就可将字符串还原成对象。
在这里插入图片描述

json框架探测

json框架识别

不同的json框架在解析json字符串的表现形式各不相同,利用其独特性质可以对json框架进行识别。举例现存在一个User对象,分析 json 反序列化时的性质。
在这里插入图片描述

jackson

  1. 严格要求与bean对象对齐,可少不能多,因此添加多余kv 报错
    在这里插入图片描述

  2. 无法解析单引号 报错
    在这里插入图片描述

  3. 无法识别注释符 报错
    在这里插入图片描述

gson

  1. 浮点无法转整数 报错,向 int 类型的值传浮点数无法解析会报错
    在这里插入图片描述

  2. 特有解析 报错,遇到 # 时都会当注释符处理
    在这里插入图片描述

  3. 特有解析 报错,拼接一个json字符串时会报错

最低0.47元/天 解锁文章
tcsecXD
关注
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 1万+
【代码】fastjson1.2.83反序列化漏洞
代码审计-fastjson的dnslog探测方式分析
cdyunaq的博客
12-15 2266
前言 正常测试的时候,发现java后端对json处理都会去测试一下是否存在反序列化,但是后端处理json的组件很多,比如fastjson、jackson、gson等,怎么判断是否使用了fastjson呢? 有一个简便无危害的方式,就是通过dnslog来判断。 大佬们讨论的issue 说明 前面我们在分析的时候,会发现很多有一个变量token在进行判断,比如token == 12 或者 token == 14等,那这个token到底代表啥呢?在com.alibaba.fastjson.parser.
Fastjson漏洞检测工具FastjsonScan详解
最新发布
gitblog_00422的博客
11-18 429
FastjsonScan是一款专为探测Fastjson反序列化漏洞设计的强大工具。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱,但同时也带来了频繁出现的安全隐患。FastjsonScan涵盖了探测、利用、混淆和绕过JDK等多个模块,以快速、精准为特点,特别适用于不断演进的Fastjson新版本。 ## 核心技术特性 FastjsonScan采用了多种先
安全评估标准:TCSEC、ITSEC、FC、CC
qq_69100706的博客
10-16 2644
TCSEC是最早的安全评估标准之一,主要针对操作系统,但现在已经较少使用。ITSEC和FC在欧洲和美国分别得到了广泛应用,并且为后来的CC标准奠定了基础。CC是目前最广泛使用的国际标准,适用于各种类型的信息技术产品和服务,强调了全球互认和灵活性。
fastjson漏洞分析
gejiangbo222的专栏
07-08 2010
fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的是他为什么会频繁被爆漏洞?于是我带着疑惑,去看了下fastjson的releaseNote以及部分源代码。 最终发现,这其实和fastjson中的一个AutoType特性有关。 从2019年7月份发布的v1.2.59一直到2020年6月份发布的
Fastjson漏洞分析与复现
未完成的歌~的博客
08-26 2053
fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
数据库安全性概述及TCSEC/TDI安全性能指标
12-14
数据库安全性是IT领域中至关重要的一个方面,尤其是在信息时代,数据的价值日益凸显,数据库成为存储...随着技术的发展,数据库安全将面临更多新的挑战,因此持续关注和研究安全标准与实践,是保护数据资产的长期任务。
32、系统安全架构:威胁、漏洞与应对策略
uuu88的博客
08-15 27
本文深入探讨了系统安全架构中的核心问题,涵盖虚拟化环境的安全权衡、常见漏洞与威胁类型,并详细分析了辐射攻击、状态攻击和隐蔽通道等特殊攻击方式。文章还针对大型机、中间件、嵌入式系统及移动设备等不同计算平台的安全特性提出应对策略,重点阐述了移动设备安全策略的制定流程与最佳实践。结合威胁优先级排序和安全架构师所需的关键技能,为构建全面、可持续的企业安全体系提供了系统性指导。
精选资源
tcsec_pdf.pdf
05-24
5. 审计(Audit):审计是指对系统的使用和安全事件进行记录、监控和分析的过程。TCSEC在C2级别开始引入审计能力,而更高的级别则需要更详尽的审计和监控机制。 6. 访问控制(Access Control):访问控制是指确保...
fastjson远程代码执行漏洞问题分析
lucasma的博客
03-01 5485
背景 fastjson远程代码执行安全漏洞(以下简称RCE漏洞),最早是官方在2017年3月份发出的声明, security_update_20170315 没错,强如阿里这样的公司也会有漏洞。代码是人写的,有漏洞是难免的。关键是及时的修复。 声明中,官方指出: 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29...
从0开始fastjson漏洞分析
刀客源码网
05-18 471
从0开始fastjson系统漏洞剖析   fastjson这一系统漏洞出来好长时间,一直没空剖析,耽误了,今日拾起来   由于我们要剖析fastjson有关系统漏洞,因此 大家先去学习fastjson的基本应用,如果我们连fastjson都不清楚,更谈何系统漏洞剖析呢?   最先先构建有关系统漏洞自然环境:   应用maven,十分便捷大家转换有关系统漏洞版本号:   pom.xml: <?xml version="1.0" encoding="UTF-8"?> <proje
fastjson-c3p0:fastjson不出网回显利用
03-19
fastjson-c3p0 fastjson不出网回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2942
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
Fastjson历史漏洞分析
hldfight
04-07 2037
0x00 初识Fastjson 前段时间分析了一下Fastjson的历史漏洞,在这里做下记录。 为了方便切换Fastjson的版本,我用idea新建了一个maven项目,在pom.xml中引入Fastjson: <dependencies> <dependency> <groupId>com.alibaba</gro...
Fastjson历史反序列漏洞分析(1.2.24-1.2.80)
dreamthe的博客
08-10 7336
本文章总结fastjson1.2.24到1.2.80所产生的反序列化漏洞,将其进行分析。希望多大家有帮助。
Fastjson历史漏洞复现
懂进攻知防守
07-27 1873
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。...
fastjson漏洞批量检测工具
weixin_46211944的博客
09-07 755
将工具的流量代理到burpsuite中(此工具不能适应所有的情况,可通过该方式对payload进行适当调整)将请求中需要检测的位置替换为$payload$,其余位置不变,保存为req.txt(文件名任意)格式: {.........$type$://$ip$/路径....}#注释内容​​​​​​​。此时LDAP服务器可收到路径信息,可根据路径信息来定位触发漏洞的payload。若使用-req参数进行检测时,需要设置需要检测的变量值位置。格式:​​​​​​​。注意:​​​​​​​。注意:​​​​​​​。
代码审计-Fastjson各版本漏洞分析(上)
dzqxwzoe的博客
08-03 2149
最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了。
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 4560
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
信息安全评估标准对比分析
"该文探讨了信息安全评估标准的国内外研究现状,对比了多个重要的信息安全评估标准,包括TCSEC,ITSECC,CC,BS7799/ISO7799,以及GB17859-1999,分析了它们的特点、应用和价值,并讨论了安全评估标准面临的问题及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值