2. 程式人生 > 其它 >FASTJSON反序列化遠端程式碼執行漏洞

FASTJSON反序列化遠端程式碼執行漏洞

阿新 發佈:2022-05-26

【解決方案】
(1)升級到最新版本1.2.83,該版本涉及autotype行為變更,在某些場景會出現不相容的情況,如遇遇到問題可以到 https://github.com/alibaba/fastjson/issues 尋求幫助。升級連結:
https://github.com/alibaba/fastjson/releases/tag/1.2.83 。
(2)fastjson在1.2.68及之後的版本中引入了safeMode,配置safeMode後,無論白名單和黑名單,都不支援autoType,可杜絕反序列化Gadgets類變種攻擊(關閉autoType注意評估對業務的影響)。1.2.83修復了此次發現的漏洞,開啟safeMode是完全關閉autoType功能,避免類似問題再次發生,這可能會有相容問題,請充分評估對業務影響後開啟。開啟方法可參考:
 

https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。
3、 可升級到fastjson v2 : 
https://github.com/alibaba/fastjson2/releases
相關連結:

相關推薦

高危!Fastjson序列遠端程式碼執行漏洞風險通告,請儘快升級

據國家網路與資訊保安資訊通報中心監測發現,開源Java開發元件Fastjson存在反序列化遠端程式碼執行漏洞。攻擊者可利用上述漏洞實施任意檔案寫入、服務端請求偽造等攻擊行為,造成伺服器許可權被竊取、敏感資訊洩漏等

FASTJSON序列遠端程式碼執行漏洞

【解決方案】 (1)升級到最新版本1.2.83,該版本涉及autotype行為變更,在某些場景會出現不相容的情況,如遇遇到問題可以到 https://github.com/alibaba/fastjson/issues 尋求幫助。升級連結:https://github.com

Fastjson序列遠端程式碼執行漏洞產生原因及修復建議

Fastjason是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字串,支援將Java Bean序列化為JSON字串,也可以從JSON字串反序列化到JavaBean。由於其序列化jason檔案速度快且中文文件非常全面,所以為國內廣大開發人員

Apache Shiro序列遠端程式碼執行復現

最近也是看shiro漏洞比較多,所以自己也在本地復現了一下,拿出來與大家一起分享

Fastjson序列漏洞分析--JdbcRowSetImpl利用鏈

這段時間在學習滲透測試的相關知識,看了一些關於 Fastjson 序列漏洞分析的部落格和視訊,這裡復現一下。

Fastjson序列漏洞分析--TemplatesImpl利用鏈

前面對 TemplatesImpl 利用鏈進行了漏洞分析,這次接著上次的內容,對 TemplatesImpl 利用鏈進行分析。

fastJson序列處理泛型 我能從中學到什麼

都會的json解析 在我們日常的編碼工作中,常常會制定或者遇到這樣的json結構

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現 漏洞介紹 F5 BIG-IP 是美國 F5 公司的一款集成了網路流量管理、應用程式安全管理、負載均衡等功能的應用交付平臺。

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現 漏洞介紹 F5 BIG-IP 是美國 F5 公司的一款集成了網路流量管理、應用程式安全管理、負載均衡等功能的應用交付平臺。

F5 BIG-IP 遠端程式碼執行漏洞復現(CVE-2020-5902)

0x01 漏洞詳情 F5 BIG-IP 是美國F5公司一款整合流量管理、DNS、出入站規則、web應用防火牆、web閘道器、負載均衡等功能的應用交付平臺。

CVE-2020-0674 IE遠端程式碼執行漏洞

0x00 漏洞描述 該漏洞影響元件為jscript.dll,該動態連結庫是微軟Internet Explorer瀏覽器的Javascript引擎之一,其中IE8及以下使用jscript.dll,IE9及以上預設使用jscript9.dll,但網頁可以通過《script》標籤指定

Joomla-3.4.6遠端程式碼執行漏洞復現

#01 Joomla簡介 Joomla!是一套自由、開放原始碼的內容管理系統,以PHP撰寫,用於釋出內容在全球資訊網與內部網,通常被用來搭建商業網站、個人部落格、資訊管理系統、Web 服務等,還可以進行二次開發以擴充使用範圍。

Jenkins-CI 遠端程式碼執行漏洞復現(CVE-2017-1000353)

0x01 環境 使用vulhub搭建漏洞環境 /vulhub-master/jenkins/CVE-2017-1000353 http://192.168.255.130:8080/

S2-052(CVE-2017-9805) 遠端程式碼執行漏洞復現

0x01 漏洞說明 漏洞編號:CVE-2017-9805(S2-052)影響版本: Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12漏洞詳情:http://struts.apache.org/docs/s2-052.html

bolt cms V3.7.0 xss和遠端程式碼執行漏洞

本文首發於“合天智匯”公眾號 作者:ordar123 宣告:筆者初衷用於分享與普及網路知識,若讀者因此作出任何危害網路安全行為後果自負,與合天智匯及原作者無關!

Struts2 devMode導致遠端程式碼執行漏洞

轉載自https://blog.csdn.net/qq_29277155/article/details/51959041 簡介 Struts 2具有一個稱為devMode(=開發模式)的設定(可以在struts.properties中將其設定為true或false)。啟用此設定後,Struts 2將提供其他

CVE-2020-14645 Weblogic遠端程式碼執行漏洞復現

CVE-2020-14645Weblogic遠端程式碼執行漏洞復現 漏洞介紹 今日,Oracle官方釋出WebLogic安全更新,其中修復了一個CVSS評分為9.8的嚴重漏洞(CVE-2020-14645),該漏洞通過T3協議進行利用,攻擊者可以實現遠端程式碼執行

Jackson遠端程式碼執行漏洞復現(不使用vluhub,手寫transletBytecodes欄位)

今天花了一天的時間復現Jackson遠端程式碼執行漏洞,查詢vulhub可以看到存在CVE-2017-7525的漏洞環境,根據網上的教程,的確可以復現成功。

Weblogic遠端程式碼執行漏洞(CVE-2020-14645)

簡介 WebLogic是美國Oracle公司出品的一個application server,確切的說是一個基於JAVAEE架構的中介軟體,WebLogic是用於開發、整合、部署和管理大型分散式Web應用、網路應用和資料庫應用的Java應用伺服器。

【復現】CVE-2020-16898 TCP/IP遠端程式碼執行漏洞

EXP/POC看文末 簡述: CVE-2020-16898,又稱“Bad Neighbor” Windows TCP/IP堆疊不正確地處理ICMPv6 Router Advertisement資料包時,存在一個遠端執行程式碼漏洞。成功利用此漏洞的攻擊者可以獲得在目標伺服器或客戶