Fastjson探测作用
在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?...畸形方式4
{{"@type":"java.net.URL","val":"http://dnslog"}:0
请求方式:
?
DNSLog响应:
?...畸形方式5
{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}
请求方式:
?
DNSLog响应:
?...json 如下:
{"name":"S", "age":21}
追加一个随机 key ,修改 json 为
{"name":"S", "age":21,"agsbdkjada__ss_d":123}...这里 Fastjson 是不会报错的, Jackson 因为强制 key 与 javabean 属性对齐,只能少不能多 key, 所以会报错,服务器的响应包中多少会有异常回显~