Fastjson反序列化漏洞成因及解决方案有哪些?
- 内容介绍
- 文章标签
- 相关推荐
本文共计748个文字,预计阅读时间需要3分钟。
Fastjson 是阿里巴巴开源的JSON解析库,支持将JSON格式的字符串解析成Java对象,也可以将Java对象序列化为JSON字符串。同时,它支持从JSON字符串反序列化为Java对象,速度快速且中文文档详尽。
Fastjason是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于其序列化jason文件速度快且中文文档非常全面,所以为国内广大开发人员所应用。
fastjson是目前java语言中最快的json库,比自称最快的jackson速度要快。
第三方独立测试结果可参考:github.com/eishay/jvm-serializers/wiki
一、漏洞产生原因:
Fastjson使用黑白名单用于防御反序列化漏洞,并允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大(也就是通常所指的“Gadget”)。
本文共计748个文字,预计阅读时间需要3分钟。
Fastjson 是阿里巴巴开源的JSON解析库,支持将JSON格式的字符串解析成Java对象,也可以将Java对象序列化为JSON字符串。同时,它支持从JSON字符串反序列化为Java对象,速度快速且中文文档详尽。
Fastjason是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于其序列化jason文件速度快且中文文档非常全面,所以为国内广大开发人员所应用。
fastjson是目前java语言中最快的json库,比自称最快的jackson速度要快。
第三方独立测试结果可参考:github.com/eishay/jvm-serializers/wiki
一、漏洞产生原因:
Fastjson使用黑白名单用于防御反序列化漏洞,并允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大(也就是通常所指的“Gadget”)。