fastjson介绍
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
漏洞描述
由浅蓝(没错正是本人)研究发现并向阿里巴巴报告的 fastjson 1.2.80 autotype 绕过反序列化漏洞在近日得到了修复。该漏洞可在未开启 autotype 的情况下进行对象反序列化。
更多细节可参考该项目的更新通告
https://github.com/alibaba/fastjson/wiki/security_update_20220523
修复方案
更新到 1.2.80 以上版本。
新开了一个免费知识星球,后续应该会用来发一些自己的技术分享,后台回复「知识星球」加入。
原文始发于微信公众号(安全档案):fastjson 1.2.80 autotype bypass 反序列化漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论