fastjson
关注
分享
扫一扫
文章平均质量分 97
# fastjson
Ho1aAs
Tutte le strada portano a roma.
展开
-
『Java安全』反序列化-FastJson 1.2.25-1.2.47历史版本修复绕过分析_marshasec复现fastjson jndi注入
文章目录前言fastjson 1.2.25-1.2.41旧版本补丁更新分析解决完前言在1.2.24爆出后官方进行了多次修复,然而修复后仍然不断有漏洞爆出fastjson 1.2.25-1.2.41旧版本补丁更新分析运行一下1.2.24的payload,ParserConfig.checkAutoType方法提示autoType不支持在DefaultJSONParser.parseObject新调用了checkAutoType解决完欢迎关注我的优快云博客 :@Ho1aAs版权属于:原创 2022-03-09 22:24:39 · 1854 阅读 · 0 评论 -
『Java安全』反序列化-FastJson 1.2.24反序列化漏洞POP链分析_TemplatesImpl和JdbcRowSetImpl JNDI注入分析_marshalsec测试payload利用
文章目录前言版本FastJson基础一、反序列化TemplatesImpl类payload代码审计 | 原理分析JSON.parse()处理byte[]JSON.parse()触发TemplatesImpl.getOutputProperties()代码复现参考完前言版本FastJson <= 1.2.24FastJson基础『Java』Fastjson基础一、反序列化TemplatesImpl类payload{ "@type":"com.sun.org.apache.xalan原创 2022-03-06 15:36:07 · 1210 阅读 · 0 评论