本篇文章給大家分享的是有關(guān)怎么實現(xiàn)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的分析，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。   

廣西網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站等網(wǎng)站項目制作，到程序開發(fā)，運營維護(hù)。創(chuàng)新互聯(lián)公司自2013年起到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

一、前言

Fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

二、漏洞簡介

Fastjson 1.2.48版本以下存在反序列化漏洞補(bǔ)丁繞過。

三、漏洞危害

經(jīng)斗象安全應(yīng)急響應(yīng)團(tuán)隊分析Fastjson多處補(bǔ)丁修補(bǔ)出現(xiàn)紕漏，F(xiàn)astjson在1.2.48版本以下，無需Autotype開啟，攻擊者即可通過精心構(gòu)造的請求包在使用Fastjson的服務(wù)器上進(jìn)行遠(yuǎn)程代碼執(zhí)行。

四、影響范圍

產(chǎn)品

Fastjson

版本

1.2.48以下版本

組件

Fastjson

五、漏洞復(fù)現(xiàn)

使用POC進(jìn)行漏洞復(fù)現(xiàn)。

六、修復(fù)方案

1.升級Fastjosn到1.2.58版本，并關(guān)閉Autotype；

2.WAF攔截Json請求中的多種編碼形式的‘@type’，‘\u0040type’等字樣；

3.建議盡可能使用Jackson或者Gson；

4.升級JDK版本到8u121，7u13，6u141以上。

以上就是怎么實現(xiàn)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的分析，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

標(biāo)題名稱：怎么實現(xiàn)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的分析
文章起源：http://www.rwnh.cn/article8/gshoop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、手機(jī)網(wǎng)站建設(shè)、微信小程序、移動網(wǎng)站建設(shè)、做網(wǎng)站、面包屑導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)