Fastjson反序列化审计及验证

最新推荐文章于 2024-08-02 18:23:46 发布

原创

最新推荐文章于 2024-08-02 18:23:46 发布 · 632 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #web安全

本文分析了Fastjson 1.2.58版本中存在的反序列化漏洞，详细介绍了漏洞触发条件及其验证方法，并提供了利用漏洞的具体步骤。

1.1 Fastjson反序列化

代码审计

本项目引入的Fastjson版本为1.2.58，该版本存在反序列化漏洞。

已确定了Fastjson版本存在问题，进一步寻找触发Fastjson的漏洞点。

我们关注两个函数JSON.parse()和JSON.parseObject(),并且执行函数内参数用户可控

Edit-Find->Find in path

全局搜索两个关键字，发现本项目存在JSON.parseObject()，如下图所示：

在ProductController.java中使用到了上诉关键词

在151、257、281行均调用了JSON.parseObject()方法，则这几处均存在反序列化。

黑盒验证：

够着url及参数：

方法一： 通过对各个页面的访问并抓包，找到propertyAddJson参数

方法二： 通过抓包，观察数据格式构造url

这里我们优先结合方法一，方法二更适合get请求

构造url：通过代码中的admin/product http://127.0.0.1:8088/tmall/admin/produ

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

AIGC小工二狗

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Fastjson反序列化远程代码执行漏洞及其风险分析

SaRust的博客

09-18

356

该漏洞的原理是在Fastjson反序列化过程中，攻击者可以构造一个特制的JSON字符串，其中包含恶意代码。通过更新Fastjson版本、实施输入验证和过滤、限制反序列化范围、应用程序隔离以及实施安全审计和监测，DevOps团队可以降低潜在攻击的风险，并确保应用程序的安全性。可以使用Fastjson提供的配置选项来限制反序列化的范围，仅允许信任的类进行反序列化。更新Fastjson版本：Fastjson团队已经修复了许多安全漏洞，因此确保使用最新版本的Fastjson库以减少风险。字段指定了一个恶意类。

【安全攻防知识-9】Fastjson(CNVD-2017-02833）验证

qq_26579613的博客

06-29

936

vulfocus-Fastjson(CNVD-2017-02833）验证

参与评论您还未登录，请先登录后发表或查看评论

fastjson 反序列化测试

yuming的专栏

06-04

308

最近在分析Java服务性能时，发现在处理数据时大量解析JSON占用的CPU资源比较大，想看看不同方法之间是否有性能上的差异。编写了一小段代码测试，对比结果基本没有差别。 fastjson库版本和引用如下： <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> ...

【vulhub】fastjson反序列化漏洞验证POC

qq_45300786的博客

07-10

3930

盲打payload： 1.2.67版本前 {"zeo":{"@type":"java.net.Inet4Address","val":"fatu5k.dnslog.cn"}} 1.2.67版本后payload {"@type":"java.net.Inet4Address","val":"dnslog"} {"@type":"java.net.Inet6Address","val":"dnslog"} 这里我是fastjson1.2.24版本先获取一个dnslog 抓包，然后加上我们的payloa

fastjson反序列化修复

最新发布

02-17

Fast 序列化/反序列化机制广泛应用于分布式系统中的对象传输。然而，由于其设计特点可能导致严重的安全风险，特别是远程代码执行 (RCE) 攻击。为了有效防止 fast 反序列化漏洞带来的威胁，建议采取以下措施： ###...

JNDI加载RMIServer，对FastJson的反序列化攻击，.zip

09-30

这个压缩包文件的标题“JNDI加载RMIServer，对FastJson的反序列化攻击”揭示了一个常见的安全漏洞，即FastJson的反序列化漏洞。让我们深入探讨这个话题。首先，JNDI（Java Naming and Directory Interface）是一种...

fastjson1.2.24反序列化漏洞复现，验证JdbcRowSetImpl

liu649983697的专栏

05-30

1814

fastjson反序列化漏洞复现、实验、验证，远程命令调用、漏洞攻击

Fastjson反序列化漏洞分析

黑白的博客

06-29

5038

fastjson在解析json过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性，反序列化就是面向属性编程，不谋而合了，直接通过set注入就好了，这个autoType在对JSON字符串进行反序列化时，会读取@type的内容，把JSON内容反序列化成对象，并且调用set方法。

Fastjson 反序列化漏洞

m0_65150886的博客

10-10

1109

Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链Fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。

Fastjson反序列化漏洞

热门推荐

m0_67401761的博客

09-11

1万+

深知大多数初中级Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则近万的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！因此收集整理了一份《Java开发全套学习资料》送给大家，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

FastJson反序列化分析

m0_49443776的博客

11-19

4360

本文主要针对FastJson的反序列化过程进行详细分析，以及poc案例分析，留作学习笔记，以供日后复习

fastjson反序列化分析

qq_50854662的博客

10-13

478

fastjson反序列化分析

fastjson反序列化漏洞

cc777777777的博客

06-12

647

fastjson反序列化漏洞

04-Fastjson反序列化漏洞

qq_57410330的博客

08-02

1935

该文章详细讲述了Fastjson漏洞

fastjson kotson_【技术分享】Fastjson 远程反序列化程序验证的构造和分析

weixin_39790717的博客

12-19

215

作者：廖新喜@绿盟科技背景fastjson是一个java编写的高性能功能非常完善的JSON库，应用范围非常广，在github上star数都超过8k，在2017年3月15日，fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。关于漏洞的具体详情可参考 https://github.com/alibaba/...

Fastjson反序列化漏洞原理与漏洞复现（CVE-2017-18349）

wangzhifei1的博客

01-15

8872

Fastjson是一个由阿里巴巴开源的Java库，用于将 Java 对象转换成其 JSON 表示形式，也可以用来将 JSON 字符串转换成等效的 Java 对象。这个过程通常称为序列化和反序列化。Fastjson 反序列化是指将 JSON 字符串转换为 Java 对象的过程。