最近收到渗透测试报告,发现我们系统存在 fastjson 反序列化高危漏洞,
排查发现我们 fastjson 的版本在此前已经升级到 1.2.83 版本了,决定测试复现看看,
先访问 http://dnslog.cn/
点击 Get SubDomain
打开 Postman
Payload
{"x":{"@type":"java.net.InetSocketAddress"{"address":,"val":"ukq4kj.dnslog.cn"}}}
复制上面的链接,然后请求接口,再 Refresh Record
如果有IP回显则表示存在漏洞
看公告说今年5月份的时候就已进行修复,我们的版本也升级到 1.2.83
了,但还是能通过 dnslog 进行回显
查看 GitHub 发现最近也有反馈这个问题
考虑到升级 2.x 版本可能会有兼容性问题,没有进行升级,通过 safeMode 加固的方式进行修复,希望官方尽快退出新的修复版本。
修复方案如下:
安全问题不能掉以轻心,持续跟进中...