自定义异常调用fastjson序列化问题

最新推荐文章于 2024-03-21 15:46:43 发布
最新推荐文章于 2024-03-21 15:46:43 发布
阅读量585 收藏
点赞数
分类专栏: Java 文章标签: fastjson序列化漏洞 fastjson type检查 JSONException autoType问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xf_87/article/details/107632512
版权

一、描述

程序中发现,空指针异常(java.lang.NullPointerException),调用fastjson反序列化,不会报错
自定义的异常(*.ServiceMethodNotFoundException),调用fastjson反序列化,会报错

二、Debug了一下代码发现:
1、调用了toJSONString(),在序列化后的字符串中加入了“@type”属性
"@type":"*.NullPointerException"
"@type":"*.ServiceMethodNotFoundException"
2、@type会给fastjson的安全漏洞。所以在1.2.25版本号后,fastjson增加了check方法。
Fastjson默认也为check方法增加了107个白名单。其中NullPointerException就在白名单中。白名单中,有常用的类。截图如下

所以,自定义异常被fastjson做为非安全信息,拦截了。

三、解决办法

可以把自定义异常,拆分成key:value格式,然后组装成map或JSONObject。然后再序列化

Java java.lang.UnsupportedOperationException: null问题解决
旭东怪的博客
05-18 1万+
问题描述: java.lang.UnsupportedOperationException: null 问题分析: 1、使用Gson进行序列化,但是使用fastjson进行反序列化,由于fastjson不支持Gson序列化LocalDate、LocalDateTime类型数据之后的json数据,导致报错。 List<TestModel> testModelList = new ArrayList<>(); TestModel testMode
fastjson 将字符串转Java对象 日期序列化异常 日期格式报错解决
xzh_blog
12-15 3571
com.alibaba.fastjson.JSONException: For input string: "2022-12" at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:693) at com.alibaba.fastjson.JSON.parseObject(JSON.java:395) at com.alibaba.fastjson.JSON.parseObject(JSO
fastjson 导致内部类反序列化异常的解决方法
weixin_43097056的博客
07-16 482
内部类在使用fastjson转换时,遇到报错问题的解决方式: 将内部类修改为静态内部类,加个static即可; 具体原因可以参见: https://ningyu1.github.io/site/post/65-java-inner-class/ ...
关于fastjson解析提示nullpointerexception的信息
阿正的博客
07-05 3712
查看所解析字段是否为""空字符串 --》导致空指针异常 及时没有发现空字符串 可能在程序中drop掉了[]而出现的,所以解析的时候filter下非法数据就可以 0x01 问题描述 正常情况下fastJson解析失败会抛异常,但解析字符串数据为null、”“、“ ”这些情况下,fastJson返回null对象而不会抛异常,这样在调用对象时就导致了空指针异常问题。 0x02 解决方案 对此...
fastjson序列化有坑,JSONObject.toJSONString()默认不序列化值为 null的属性
yssa1125001的博客
08-05 1494
如题,fastjson序列化有坑,JSONObject.toJSONString()默认不序列化值为 null的属性 如果要让其序列化值为null的,则必须添加一个参数 SerializerFeature.WriteMapNullValue ,变成: import com.alibaba.fastjson.JSONObject; import com.alibaba.fastjson.serializer.SerializerFeature; JSONObject.toJSONString(result,
com.alibaba.fastjson 序列化 反序列
weixin_41563161的博客
03-31 5682
fastjson 序列化反序列 目录 fastjson 序列化反序列 序列化 SerializeWriter成员变量 一 SerializeWriter成员函数 1 序列化整形数字 2 序列化长整形数字 3 序列化浮点类型数字 4 序列化...
fastjson序列化时间自定义格式
BASK2311的博客
04-26 1023
我回头就是一句xxx,情绪发泄完该做的事咱也得做不是,下面就看看怎么处理这个问题。首先建一个项目,添加依赖。方法,可以设置不同的类型使用不同的序列化器,所以我们可以通过给日期类型设置自定义序列化器来实现自定义日期格式。这不,跟另一个部门做对接,人家说你发过来的时间怎么带个。序列化方法,发现可以传个配置对象,看看这个能不能解决问题自定义序列化器并重写序列化方法,这里只针对。类型进行了自定义,其他类型如出一辙。没有了,变成了自定义的格式,搞定!写个带有时间属性的类,就叫。浏览器调用接口,看下结果。
fastjson2 反序列化包含多层泛型结构的实体类 泛型被擦除 解决方案
寂夜了无痕的博客
03-21 1600
fastjson2 反序列化包含多层泛型结构的实体类 泛型被擦除 解决方案
springboot 使用spring cache缓存 和 使用fastjson配置redis系列化
09-13
同时,为了处理缓存中的对象序列化问题,我们使用Fastjson替换默认的JDK序列化。这通常涉及到创建一个自定义的`CacheManager`,并配置Fastjson序列化策略。代码示例如下: ```java @Configuration @EnableCaching...
FastJson序列化
Finlinlts的博客
08-30 3789
Fastjson允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用
fastjson解析null值处理 null的属性不显示
幸爷的博客
02-07 2万+
在做json解析时发现,fastjson处理null时,结果会把null的字段以及值给过滤,业务上需要保留null值。直接上代码 import java.util.HashMap; import java.util.Map; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import com.
fastjson JSON.parseObject() 属性为null
corleone_4ever的博客
03-18 6977
调用JSON.parseObject()将json字符串解析为对象时,其中的属性始终为null 很有可能是你对象的无参构造方法被覆盖了
json字符串、json对象之间的转换
yanhappiness
07-19 453
例如: json字符串:var str1 = ‘{“name”:”ys”,”sex”:”man”}’; json对象:var str2 = {“name”:”ys”,”sex”:”man”}; json字符串转化为json对象 var obj = eval(‘(’ + str + ‘)’); 或者 var obj = str.parseJSON(); //由JSON字符串转换为JSON对象(需
出现java.lang.NullPointerException的可能原因及解决方案
热门推荐
IT学习小镇
03-23 7万+
综上所述,最常见的原因是对象未被正确初始化或者有 null 值的参数、数组或集合。因此,开发人员需要避免这些情况并进行适当的错误处理。
fastjson处理日期类型数据的序列化
极乐谷2的专栏
02-22 7657
fastjson序列化日期类型数据出现问题解决方案
fastjson序列化异常解决方案(内部类反序列化失败问题) java.lang.IllegalArgumentException: argument type mismatch
wskws的专栏
06-06 5445
fastjson内部类在反序列化内部类时失败 com.alibaba.fastjson.JSONException: create instance error java.lang.IllegalArgumentException: argument type mismatch
java字段不序列化注解_关于数据序列化(5),定制FastJSON序列化(解决Java大Long类型js的Number接收丢失数据的问题,不序列化某些属性)...
weixin_31655087的博客
02-25 897
1. 指定某个类型序列化问题描述:JavaScript使用IEEE 754标准1位用来表示符号位11位用来表示指数52位表示尾数javaScript对于整形只能识别52位。遇到Long大整数可能会丢失数据因为后台是Java写的难免有属性的类型是long。本来项目的做法是手动写每个类的toString();方法要拼接很多双引号。比较费劲也容易出错。后来我使用了FastJson定制序列化遇到Long就...
fastjson 如何忽略@type类型解析
程序员星痕的博客
09-14 4682
最新使用Springboot redisTemplate遇到一个问题自定义RedisSerializer中使用了fastjson进行序列化调用JSON.toJSONString函数时添加了SerializerFeature.WriteClassName参数,导致反序列化的时候报错,,原因就是反序列化指定的类类型与序列化的时候不一致,虽然类名一样,但是全路径不一样。通常在不同的系统间进行交互,使用同一个redis集群中的资源时会出该问题自定义AutoTypeCheckHandler,进行全局配置。
json反序列化时出现@type
qq_22325259的博客
04-28 2459
json字符串是这样的: 、 实体类是这样的: 反序列化后是这样的: 反序列化type字段前多了一个@符号,如果调接口,别人的接口需要的参数是type,传个@type过去是不行的,为什么反序列化type字段前面多了一个 @符号呢,从网上也没找到什么有用的资料。猜想:type是json反序列化过程中的一个关键字,反序列化过程中,不允许使用type关键字。 参考文章:在datamember"__type"上反序列化JSON的问题 | 经验摘录 ...
fastjson序列化漏洞复现靶场
最新发布
03-30
### 关于 FastJSON 序列化漏洞的复现靶场或测试环境 FastJSON 是阿里巴巴开源的一个高性能 JSON 解析库,在 Java 开发中广泛使用。然而,由于其设计上的缺陷,FastJSON 曾多次暴露出严重的反序列化漏洞,这些漏洞可能导致远程代码执行 (RCE) 或其他安全风险。 #### 使用 Docker 构建 FastJSON 漏洞靶场 可以通过 `Docker` 和 `VulHub` 提供的镜像快速搭建 FastJSON漏洞测试环境。以下是具体的实现方式: 1. **基于 VulHub 的 FastJSON 靶场** 参考引用提到 Kali 中通过 Docker 启动了 vulhub 的 fastjson 1.2.24 漏洞靶场环境[^2]。可以按照以下步骤操作: ```bash docker pull vulhub/fastjson:1.2.24 docker run --rm -d -p 8080:8080 --name fastjson-vuln vulhub/fastjson:1.2.24 ``` 上述命令会拉取并启动一个包含 FastJSON 1.2.24 版本漏洞的容器服务,默认监听端口为 `8080`。访问该服务即可进行漏洞验证。 2. **自定义构建靶场** 如果需要更灵活的控制或者特定版本的 FastJSON 测试环境,则可以选择手动创建项目文件夹,并编写简单的 Spring Boot 工程来集成指定版本的 FastJSON 库。例如: 创建 Maven 项目的 `pom.xml` 文件如下所示: ```xml <dependencies> <!-- 引入 FastJSON --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</version> </dependency> <!-- 引入 Web 支持 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> </dependencies> ``` 编写控制器类用于接收 POST 请求数据并通过 FastJSON 进行解析处理: ```java @RestController public class TestController { @PostMapping("/deserialize") public String deserialize(@RequestBody String jsonStr) throws Exception { Object obj = com.alibaba.fastjson.JSON.parseObject(jsonStr, Object.class); return "Deserialized object: " + obj.toString(); } } ``` 将此工程打包成可运行 JAR 并部署到服务器上完成本地化的漏洞研究平台建设工作。 #### PHP 反序列化学习经验分享 虽然问题是针对 FastJSON 的,但如果感兴趣了解另一种语言下的反序列化攻击机制的话,也可以参考 PHP 方面的知识点。比如有提到过重庆橙子科技提供的 php 反序列化练习场景说明文档指出当遇到私有属性命名冲突情况时需调整 URL 参数编码形式才能成功触发预期效果[^3]。 #### JAVA RMI 技术简介及其潜在威胁分析 另外还提到了有关 JAVA Remote Method Invocation 即远程过程调用相关内容介绍部分讲述了它的工作原理以及可能存在的安全隐患等问题所在之处[^4]。不过这与当前讨论主题关系不大所以不再展开细说。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值