标签: fastjson

5 篇文章

Fastjson反序列化漏洞(4)—1.2.68版本
Fastjson反序列化漏洞(4)—1.2.68版本 复现大佬博客:Fastjson系列六——1.2.48-1.2.68反序列化漏洞 1.2.47之后出现了用各种绕过官方黑名单的方法,但是本质上都是使用了黑名单以外的类进行JNDI注入,所以都会受到JDK版本的限制。   1.2.62反序列化漏洞(黑名单绕过) 漏洞原理 新Gadget绕过黑名单限制…
Fastjson反序列化漏洞(3)—历史版本绕过
Fastjson反序列化漏洞(3)—历史版本绕过 在1.2.24之后的版本中,使用了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞,因此后面发现的Fastjson反序列化漏洞都是针对黑名单的绕过来实现攻击利用的。 网上一些文章讲的都是针对1.2.41、1.2.42、1.2.43、1.2.45这些特定版本的补…
Fastjson反序列化漏洞(2)—1.2.24版本
Fastjson反序列化漏洞(2)—1.2.24版本 影响版本 Fastjson 1.2.x系列的1.2.22-1.2.24版本。   复现 对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞的利用,目前已知的主要有以下的利用链: 基于TemplateImpl;基于JNDI(又分为基于Bean Property类型和Field类型…
Fastjson反序列化漏洞(1)——基本原理
Fastjson反序列化漏洞(1)——基本原理 基本概念 Fastjson简介 Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口 JSON.toJSONString 和JSON.parseObject/JSON.parse 来分别实现序列化和反序列化…