安全文章 这些FastJson漏洞已经人尽皆知的事情(安全角度) 文章来源:疯猫网络 一个阳光灿烂的冬日清晨,我一如既往地躲在被窝里刷着手机。突然,有一篇公众号头条的一篇文章吸引了我:那些FastJson漏洞不为人知的事情(开发角度)哇塞,这标题,一看就是... 01月12日 30 views 发表评论 阅读全文
安全开发 那些FastJson漏洞不为人知的事情(开发角度) 前言在FastJson<=1.2.24漏洞公布时我还是一个开发,对于这个消息我震撼至极,那时的FastJson的热度可谓如日中天。但是,对FastJson漏洞复现过后突然心就被伤了,那些把Fas... 12月26日 82 views 发表评论 阅读全文
安全文章 【超详细】Fastjson1.2.24反序列化漏洞复现 0x01 前言Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对... 12月21日 49 views 发表评论 阅读全文
安全文章 Fastjson小于1.2.68版本反序列化漏洞分析 前言迟到的Fastjson反序列化漏洞分析,按照国际惯例这次依旧没有放poc。道理还是那个道理,但利用方式多种多样。除了之前放出来用于文件读写的利用方式以外其实还可以用于SSRF。一、漏洞概述在之前其... 11月17日 75 views 发表评论 阅读全文
安全文章 使用DNSlog_GO实现快速检测FastJson Dnslog_Go原本是为了配合我的Httphook项目的一个子项目,目的是为了配合hk实现各种盲漏洞的探测,但是后来看到目前github上的各种dnslog项目都需要,安装各种依赖,于是就把这个项目... 10月22日 85 views 发表评论 阅读全文
安全文章 Fastjson < 1.2.68版本反序列化漏洞分析篇 作者:[email protected]云影实验室前言迟到的Fastjson反序列化漏洞分析,按照国际惯例这次依旧没有放poc。道理还是那个道理,但利用方式多种多样。除了之前放出来用于文件读写的利用方式以外其实还可以... 10月21日 89 views 发表评论 阅读全文
代码审计 fastjson黑盒测试与白盒审计 简介与漏洞史java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastjson是阿里巴巴一个开源的json相关的java li... 09月14日 135 views 发表评论 阅读全文
安全文章 Fastjson作者的自述 2020年6月3日,阿里巴巴的内网热搜忽然挤进一个词——Fastjson,很快,一条关于「Fastjson,我心里永远的痛」被拱上热贴第一名。大家的吐槽挺含蓄,比如这样:这张图至今存在我的电脑里,因为... 09月02日 91 views 发表评论 阅读全文
安全文章 Fastjson历史漏洞研究(一) 0x00 前言本文衔接上一篇文章《Fastjson1.2.24反序列化漏洞深度分析》,继续探讨一下FastJson的历史漏洞。在《Fastjson 1.2.24反序列化漏洞深度分析》一文中,我们以Fa... 08月27日 123 views 发表评论 阅读全文
安全文章 渗透测试中获取 fastjson 精确版本号的方法 背景上个月天天打游戏一直没更文,也没啥研究成果,这次就随便发点小技巧。没有技术含量,但在某些场景下也是可以运用得到。目前来看是可以影响到最新版本(1.2.73)的。细节之前在找 fastjson 漏洞... 08月09日 173 views 发表评论 阅读全文
安全漏洞 Fastjson漏洞复现 前言 前不久传的沸沸扬扬的FastJson反序列化漏洞,相信有不少企业都中招了,当然我司也未能幸免,基于次漏洞更具官方给的补漏措施,已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJ... 07月14日 165 views 发表评论 阅读全文
安全文章 [原]Fastjson漏洞修复参考 Fastjson漏洞修复参考 1. 漏洞背景 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串... 06月30日 200 views 发表评论 阅读全文