首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

fastjson

写在前面 自2017年3月15日 fastjson 1.2.24版本被爆出反序列化漏洞以来,其就成为了安全人员中的重 点研究对象,即使后来 fastjson 为了安全设置了checkAutoType 防御机制...然后看看fastjson的黑名单 https://github.com/LeadroyaL/fastjson-blacklist 在fastjson 1.2.68及以前的黑名单里,虽然包括了大部分常用的父接口和父类...议题里作者还给了一些payload和具体的链,这里的漏洞复现我们以 Mysql RCE为例 漏洞复现 首先打开faker mysql 然后运行以下代码: import com.alibaba.fastjson.JSON...总结 这个漏洞的挖掘思路可以用两个字总结——细心 漏洞的作者梳理了checkAutoType绕过的条件,然后根据情况一条一条判断达到这个条件的可能性 对于黑名单和expectClass类的列表进行了自动化的分析...,然后找到了黑名单中没有的类,并且可以利用该类的继承类达到RCE的效果 作者对“继承”概念的定义和细化非常值得学习,此外其自动化的分析方式也是我们在安全研究中必须要掌握的技能之一,这能使得我们的研究事半功倍

1.4K30
您找到你想要的搜索结果了吗?
是的
没有找到

Fastjson探测简介

Fastjson探测作用 在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?...可以构造特定的payload来进行探测分析,下面介绍一些常用的payload,且这些Payload可以在AutoType关闭的情况下进行测试~~~ Fastjson探测方法 方法一:java.net.Inet4Address...基础原理分析 Fastjson对于Inet4Address类会使用MiscCodec这个ObjectDeserializer来反序列化: ?...其他方式使用示例 畸形方式1 {"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"http://dnslog...Fastjson特性利用 Java 系 Json 处理基本只有 Fastjson 和 Jackson, 由于 Jackson 相对比较严格, 这里可以很好分辨出 Fastjson 和 Jackson,如果请求包中的

1.1K40

fastjson

一、FastJson为何物 首先抄录一段来自官网的介绍:FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到...从测试结果看,FastJson确实是最快的,但仅比Jackson快20%左右,Google的Gson是最慢的,差距较大。读到这里,是不是觉得选择FastJson肯定没错啊!...三、FastJson并没有那么流行 然而,FastJson并没有那么流行,有一个最直观的数据,那就是在Maven的中的引用量,和Jackson和Gson不在一个数量级,和Jackson强大的家族更没法比...在知乎看到了一篇帖子,讨论为什么外国友人不喜欢FastJson。结论就是FastJson是个代码质量不高的国产类库。...完全颠覆了我的认知,因为在我的项目中,是经常使用FastJson的,并没有出现什么Bug,而且这段评论是在2016年写的。 ? 抱着怀疑的态度,打开FastJson的地址,看到大家提的Issues。

65730
领券