文章来源:疯猫网络 一个阳光灿烂的冬日清晨,我一如既往地躲在被窝里刷着手机。突然,有一篇公众号头条的一篇文章吸引了我:那些FastJson漏洞不为人知的事情(开发角度)哇塞,这标题,一看就是...
安全文章
安全文章
安全开发
那些FastJson漏洞不为人知的事情(开发角度)
前言在FastJson<=1.2.24漏洞公布时我还是一个开发,对于这个消息我震撼至极,那时的FastJson的热度可谓如日中天。但是,对FastJson漏洞复现过后突然心就被伤了,那些把Fas...
安全文章
【超详细】Fastjson1.2.24反序列化漏洞复现
0x01 前言Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对...
安全文章
Fastjson小于1.2.68版本反序列化漏洞分析
前言迟到的Fastjson反序列化漏洞分析,按照国际惯例这次依旧没有放poc。道理还是那个道理,但利用方式多种多样。除了之前放出来用于文件读写的利用方式以外其实还可以用于SSRF。一、漏洞概述在之前其...
安全文章
使用DNSlog_GO实现快速检测FastJson
Dnslog_Go原本是为了配合我的Httphook项目的一个子项目,目的是为了配合hk实现各种盲漏洞的探测,但是后来看到目前github上的各种dnslog项目都需要,安装各种依赖,于是就把这个项目...
安全文章
Fastjson < 1.2.68版本反序列化漏洞分析篇
作者:[email protected]云影实验室前言迟到的Fastjson反序列化漏洞分析,按照国际惯例这次依旧没有放poc。道理还是那个道理,但利用方式多种多样。除了之前放出来用于文件读写的利用方式以外其实还可以...
代码审计
fastjson黑盒测试与白盒审计
简介与漏洞史java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastjson是阿里巴巴一个开源的json相关的java li...
安全文章
Fastjson作者的自述
2020年6月3日,阿里巴巴的内网热搜忽然挤进一个词——Fastjson,很快,一条关于「Fastjson,我心里永远的痛」被拱上热贴第一名。大家的吐槽挺含蓄,比如这样:这张图至今存在我的电脑里,因为...
安全文章
Fastjson历史漏洞研究(一)
0x00 前言本文衔接上一篇文章《Fastjson1.2.24反序列化漏洞深度分析》,继续探讨一下FastJson的历史漏洞。在《Fastjson 1.2.24反序列化漏洞深度分析》一文中,我们以Fa...
安全文章
渗透测试中获取 fastjson 精确版本号的方法
背景上个月天天打游戏一直没更文,也没啥研究成果,这次就随便发点小技巧。没有技术含量,但在某些场景下也是可以运用得到。目前来看是可以影响到最新版本(1.2.73)的。细节之前在找 fastjson 漏洞...
安全漏洞
Fastjson漏洞复现
前言 前不久传的沸沸扬扬的FastJson反序列化漏洞,相信有不少企业都中招了,当然我司也未能幸免,基于次漏洞更具官方给的补漏措施,已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJ...
![[原]Fastjson漏洞修复参考](http://cn-sec.com/wp-content/themes/begin-lts-1/img/random/10.jpg)
安全文章
[原]Fastjson漏洞修复参考
Fastjson漏洞修复参考 1. 漏洞背景 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串...
