漏洞简介 Fastjson代码执行漏洞,该漏洞允许攻击者绕过Fastjson中的"AutoTypeCheck"机制并实现远程代码执行 影响版本:1.2.80及以下版本,即漏洞复现 我们利用idea创建maven项目搭建漏洞环境,在pom文件中添加dependency> groupId>com.alibabagroupId> artifactId>fastjsonartifactId> version>1.2.82version>dependency> 创建文件夹 com.example.fastjson 在下面添加两个java文件packagecom.example.fastj
0x00前言Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和JavaObject之间互相转换。提供两个主要接口来分别实现序列化和反序列化操作。JSON.toJSONString将Java对象转换为json对象,序列化的过程。JSON.parseObject/JSON.parse将json对象重新变回Java对象;反序列化的过程所谓JOSN就可以简单的理解成一串有格式的字符串,然后既然它存在序列化和反序列化,那么中间代码会不会就出现问题呢,就是我们要研究的地方0x03代码demo0x01漏洞原理这里的话回去写一些demo就是fastjson的dem
0x00前言Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和JavaObject之间互相转换。提供两个主要接口来分别实现序列化和反序列化操作。JSON.toJSONString将Java对象转换为json对象,序列化的过程。JSON.parseObject/JSON.parse将json对象重新变回Java对象;反序列化的过程所谓JOSN就可以简单的理解成一串有格式的字符串,然后既然它存在序列化和反序列化,那么中间代码会不会就出现问题呢,就是我们要研究的地方0x03代码demo0x01漏洞原理这里的话回去写一些demo就是fastjson的dem
前言这里的话就多介绍几种绕过的机制吧,然后原理的话就稍微分析一下,因为绕过的版本太多了,绕过的方法虽然有所不同但最终都是对代码的恶意解读嘛1.2.25绕过先看一下1.2.25这个版本是怎么修复这个漏洞的,简单点说就是增加了一个黑白名单。publicClasscheckAutoType(StringtypeName,ClassexpectClass){if(typeName==null){returnnull;}finalStringclassName=typeName.replace('$','.');//autoTypeSupport默认为False//当autoTypeSupport开启时
前言这里的话就多介绍几种绕过的机制吧,然后原理的话就稍微分析一下,因为绕过的版本太多了,绕过的方法虽然有所不同但最终都是对代码的恶意解读嘛1.2.25绕过先看一下1.2.25这个版本是怎么修复这个漏洞的,简单点说就是增加了一个黑白名单。publicClasscheckAutoType(StringtypeName,ClassexpectClass){if(typeName==null){returnnull;}finalStringclassName=typeName.replace('$','.');//autoTypeSupport默认为False//当autoTypeSupport开启时
只是做个记录Evil.javaimportjava.io.File;importjava.io.FileNotFoundException;importjava.io.FileOutputStream;importjava.io.IOException;publicclassEvil{//static{//try{//Runtime.getRuntime().exec("calc.exe");//}catch(Exceptione){//e.printStackTrace();//}//}static{//win系统Stringpath="D:\\hello.txt";Filefile=new
只是做个记录Evil.javaimportjava.io.File;importjava.io.FileNotFoundException;importjava.io.FileOutputStream;importjava.io.IOException;publicclassEvil{//static{//try{//Runtime.getRuntime().exec("calc.exe");//}catch(Exceptione){//e.printStackTrace();//}//}static{//win系统Stringpath="D:\\hello.txt";Filefile=new
解决一个Bug在昨晚的开发中遇到了一个非常令人头疼的Bugjava.lang.IllegalStateException:getOutputStream()hasalreadybeencalledforthisresponse报错信息如下:有点长。。。java.lang.IllegalStateException:getOutputStream()hasalreadybeencalledforthisresponse atorg.apache.catalina.connector.Response.getWriter(Response.java:584) atorg.apache.catali
解决一个Bug在昨晚的开发中遇到了一个非常令人头疼的Bugjava.lang.IllegalStateException:getOutputStream()hasalreadybeencalledforthisresponse报错信息如下:有点长。。。java.lang.IllegalStateException:getOutputStream()hasalreadybeencalledforthisresponse atorg.apache.catalina.connector.Response.getWriter(Response.java:584) atorg.apache.catali
紧急通知!更新中....(一)FastJson反序列化漏洞。据国家网络与信息安全信息通报中心监测发现,阿里巴巴公司开源Java开发组件FastJson存在反序列化漏洞。FastJson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响FastJson1.2.80及之前所有版本。目前,阿里巴巴公司已发布FastJson最新版本1.2.83以修复该漏洞,组件升级地址为:https://github.com/alibaba/fastjson/releases/
