相關(guān)文章

• 

  FastJson反序列化分析

  前言：網(wǎng)上關(guān)于FastJson的分析文章一大片，本文只是筆者在實踐操作中理解的一些東西，不算特別詳細(xì)，留作日后復(fù)習(xí)，歡迎一起交流 什么是FastJson？ Fastjson是一個由阿里巴巴維護(hù)的一個json庫。它采用一種“假定有序快速匹配”的算法，是號稱Java中最快的json庫。 先來看看一

  2024年02月06日

  瀏覽(46)
• 

  Spring boot使用Kafka Java反序列化漏洞 CVE-2023-34040

  背景：公司項目掃描到 Spring-Kafka上使用通配符模式匹配進(jìn)行的安全繞過漏洞 CVE-2023-20873 中等風(fēng)險 | 2023年8月23日 | CVE-2023-34040 在Spring for Apache Kafka 3.0.9及更早版本以及2.9.10及更早版本中，存在可能的反序列化攻擊向量，但只有在應(yīng)用了不常見的配置時才會出現(xiàn)。攻擊者必須在

  2024年02月07日

  瀏覽(44)
• 

  fastjson反序列化漏洞學(xué)習(xí)(一)

  Fastjson 是阿里巴巴開源的一個 Java 的 JSON 解析庫。它提供了快速、高效、簡潔的 JSON 解析功能。Fastjson 不僅支持常見的 JSON 數(shù)據(jù)類型（如字符串、數(shù)字、布爾值、數(shù)組、對象等），還支持 Java 原生數(shù)據(jù)類型（如整型、浮點型、數(shù)組、集合等）與 JSON 之間的互相轉(zhuǎn)換。Fastjson 支

  2024年02月04日

  瀏覽(23)
• 

  FastJson序列化導(dǎo)致的 “$ref“

  前言： 剛轉(zhuǎn)后端沒多久，在通過 RPC 調(diào)用其他組的服務(wù)的時候，其他組對接的同學(xué)說，你的入?yún)⑹怯袉栴}的，然后他把入?yún)l(fā)我，類似于下面的 json ： 這個對象包含一個 addressMO 和 brotherMO 以及 name 和 age ， brotherMO 中也包含了 addressMO ，就會導(dǎo)致 出現(xiàn)上面的 \\\"$ref\\\": \\\"$.addressMO

  2024年02月02日

  瀏覽(22)
• 

  關(guān)于fastjson序列化失敗的問題

  com.alibaba.fastjson2.JSONArray cannot be cast to com.alibaba.fastjson2.JSONArray 我們使用若依的架子把common抽離出來一個jar包，導(dǎo)致從redis中序列化出錯 這是由于springboot-devtools 使用restartClassLoader加載了JSONArray 而上層controller中的JSONArray依然是AppClassLoader，兩個不同的類加載器加載的JSONArray沒法

  2024年02月13日

  瀏覽(17)
• 

  Java反序列化—Fastjson基礎(chǔ)

  最近擺爛了很久，來學(xué)習(xí)一下fastjson Fastjson 是 Alibaba 開發(fā)的 Java 語言編寫的高性能 JSON 庫，用于將數(shù)據(jù)在 JSON 和 Java Object 之間互相轉(zhuǎn)換。 提供兩個主要接口來分別實現(xiàn)序列化和反序列化操作。 JSON.toJSONString 將 Java 對象轉(zhuǎn)換為 json 對象，序列化的過程。 JSON.parseObject/JSON.pars

  2024年02月02日

  瀏覽(24)
• 

  Fastjson反序列化漏洞復(fù)現(xiàn)小結(jié)

  簡單來說：Fastjson是解析JSON格式的字符串的，允許用戶在輸入JSON串時通過“@type”鍵對應(yīng)的value指定任意反序列化類名，進(jìn)而執(zhí)行類里的惡意代碼。 1、Fastjson1.2.24遠(yuǎn)程代碼執(zhí)行（CNVD-2017-02833 ） 2、Fastjson=1.2.47遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2019-22238） 3、Fstjson =1.2.60 遠(yuǎn)程代碼執(zhí)行漏洞

  2023年04月08日

  瀏覽(25)
• 

  FastJson中AutoType反序列化漏洞

  Fastjson1.2.80 反序列化漏洞情報，攻擊者可以利用該漏洞攻擊遠(yuǎn)程服務(wù)器, 可能會造成任意命令執(zhí)行。在Fastjson=1.2.83的版本中，通過新的Gadgets鏈繞過autoType開關(guān)，在autoType關(guān)閉的情況下仍然可能可以繞過黑白名單防御機制，實現(xiàn)了反序列化漏洞利用的遠(yuǎn)程代碼執(zhí)行效果，同時，此

  2024年02月07日

  瀏覽(18)
• 

  Fastjson反序列化遠(yuǎn)程代碼執(zhí)行漏洞

  據(jù)國家網(wǎng)絡(luò)與信息安全信息通報中心監(jiān)測發(fā)現(xiàn)，開源Java開發(fā)組件Fastjson存在反序列化遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用上述漏洞實施任意文件寫入、服務(wù)端請求偽造等攻擊行為，造成服務(wù)器權(quán)限被竊取、敏感信息泄漏等嚴(yán)重影響。 先貼一個解決漏洞的方案： 不過任何升級一

  2024年02月09日

  瀏覽(20)

• Fastjson反序列化漏洞原理與復(fù)現(xiàn)

  Fastjson是java的一個庫，可以將Java對象轉(zhuǎn)化為json格式的字符串，也可以將json格式的字符串轉(zhuǎn)化為Java對象。 Fastjson提供了 toJSONString() 和 parseObject() 方法來將Java對象與JSON相互轉(zhuǎn)換。調(diào)用 toJSONString() 方法即可將對象轉(zhuǎn)換成 JSON 字符串， parseObject() 方法則反過來將JSON字符串轉(zhuǎn)換成

  2024年02月12日

  瀏覽(38)