fastjson开启安全模式

最新推荐文章于 2024-05-10 19:27:07 发布

原创最新推荐文章于 2024-05-10 19:27:07 发布 · 4.6k 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#安全

本文介绍了Fastjson在1.2.68及以上版本中引入的safeMode功能，以防止反序列化Gadgets类攻击。作者提供了四种开启safeMode的方式，包括全局配置、对象解析时指定、JVM启动参数以及配置文件设置。

针对Fastjson反序列化漏洞，Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType（关闭 autoType需要注意评估业务影响），可杜绝反序列化Gadgets类变种攻击，以下是开启safeMode模式的几种方式:

方式1：全局配置

ParserConfig.getGlobalInstance().setSafeMode(true);

方式2：针对某个解析配置

UsersPlatformForm1 usersForm1 = JSON.parseObject(cipherText,UsersPlatformForm1.class,Feature.SafeMode);

方式3：JVM启动参数

-Dfastjson.parser.safeMode=true

方式4：通过fastjson.properties文件配置

fastjson.parser.safeMode=true

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

v_lazy

关注关注

1
点赞
踩
3

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

2024年Fastjson开启安全模式5种方法（VIP典藏版），狂刷200道数据结构与算法

05-10

1215

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

FastJson-安全

xlsj雪松的博客

01-03

4742

1 FastJson介绍 FastJson的主要功能就是将Java对象序列化成JSON字符串，这样得到字符串之后就可以通过数据库等方式进行持久化了。把一个Java对象转换成字符串，有两种选择： 1）基于属性 fastjson引入了AutoType，即在序列化的时候使用@type字段，标注了类对应的原始类型，方便在反序列化的时候定位到具体类型。 2）基于setter/getter 当我们要对他进行序列化的时候，fastjson会扫描其中的getter方法，即找到getName和getFrui

2 条评论您还未登录，请先登录后发表或查看评论

2 条评论

2401_86388816 2024.07.31
您好，如果我在springboot框架下采用第四种方法加入配置文件，是否还需要加入@propertiessource注解，使配置文件生效
- v_lazy回复2401_86388816 2024.07.31
  不需要

Fastjson开启安全模式

qq_38229543的博客

12-16

1958

原文链接：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

fastjson开启safeMode，关闭autoType，去除安全漏洞

blood_Z的博客

05-26

7957

## fastjson开启safeMode，关闭autoType，去除安全漏洞在1.2.68之后的版本，在1.2.68版本中，fastjson增加了safeMode的支持。safeMode打开后，完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。有三种方式配置SafeMode，如下: 在代码中配置 ParserConfig.getGlobalInstance().setSafeMode(true); 注意，如果使用new ParserConfig的方式，需要注意单例处

安全模式

03-29

NULL 博文链接：https://buptrock.iteye.com/blog/1279528

fastjson safemode_fastjson_safemode

weixin_42556197的博客

01-14

7677

打开SafeMode功能在1.2.68之后的版本，在1.2.68版本中，fastjson增加了safeMode的支持。safeMode打开后，完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。有三种方式配置SafeMode，如下:1. 在代码中配置ParserConfig.getGlobalInstance().setSafeMode(true);注意，如果使用ne...

2024年Fastjson开启安全模式5种方法（VIP典藏版）(1)，2024年最新网络安全开发热门前沿知识

05-10

1773

Fastjson开启安全模式5种方法（VIP典藏版）

最新发布

03-08

比如，在2022年底，fastjson的某个版本修复了autotype的绕过问题，如果用户使用的是旧版本，即使开启安全模式也可能存在风险。最后，总结关键点，帮助用户理解根本原因，并提供可行的解决方案，确保他们能够采取...

fastjson版本_Fastjson远程代码执行漏洞安全通告

weixin_39834767的博客

11-28

236

漏洞综述漏洞背景Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到Java Bean。近日，新华三安全攻防团队监测到Fastjson <=1.2.68全版本存在远程代码执行漏洞，可直接获取到服务器权限。漏洞原理漏洞成因是Fastjson <=1.2.68全版本存在远程...

fastjson漏洞修复:开启safeMode来禁用autoType

沛哥儿的专栏

05-26

9713

Fastjson官方再次披露严重漏洞，包括rocketmq、jeecg-boot等近15%的github开源项目受影响 2022年5月23日，fastjson 官方发布安全通报，fastjson <= 1.2.80 存在反序列化任意代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，可能会导致远程服务器被攻击，风险影响较大。

autotype安全 fastjson_Fastjson高危漏洞风险提示

weixin_39574943的博客

12-22

560

漏洞公告：2020年6月1日，Fastjson官方发布autoType开关绕过安全漏洞和补全autoType黑名单的漏洞修复版本：1.2.69、1.2.70版本，相关链接参考：根据更新记录，漏洞主要为autoType开关绕过的反序列化漏洞利用，恶意攻击者可以通过该漏洞绕过autoType限制实现远程代码执行攻击，从而获取目标系统管理权限，建议尽快更新漏洞修复版本或采用临时缓解措施加固系统。影响范围...

fastjson safemode_FastJSON 设置默认参数，全局配置方式和一些使用方式、坑

weixin_42128270的博客

12-24

3600

如果要被序列化的对象含有一个date属性或者多个date属性按照相同的格式序列化日期的话，那我们可以使用下面的语句实现：在应用的的Main方法体里配置全局参数：JSONObject.DEFFAULT_DATE_FORMAT="yyyy-MM-dd";//设置日期格式或者使用时传递配置参数JSONObject.toJSONString(resultMap, SerializerFeature.Wri...

fastjson safemode_Fastjson 反序列化漏洞史

weixin_33476081的博客

02-06

1530

作者：Longofo@知道创宇404实验室时间：2020年4月27日英文版本：https://paper.seebug.org/1193/Fastjson没有cve编号，不太好查找时间线，一开始也不知道咋写，不过还是慢慢写出点东西，幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线，会对一些比较经典的漏洞进行测试及修复说明，给出一...