本篇文章給大家分享的是有關(guān)怎么實(shí)現(xiàn)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的分析，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來(lái)看看吧。   

廣西網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)公司自2013年起到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

一、前言

Fastjson是阿里巴巴的開源JSON解析庫(kù)，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

二、漏洞簡(jiǎn)介

Fastjson 1.2.48版本以下存在反序列化漏洞補(bǔ)丁繞過。

三、漏洞危害

經(jīng)斗象安全應(yīng)急響應(yīng)團(tuán)隊(duì)分析Fastjson多處補(bǔ)丁修補(bǔ)出現(xiàn)紕漏，F(xiàn)astjson在1.2.48版本以下，無(wú)需Autotype開啟，攻擊者即可通過精心構(gòu)造的請(qǐng)求包在使用Fastjson的服務(wù)器上進(jìn)行遠(yuǎn)程代碼執(zhí)行。

四、影響范圍

產(chǎn)品

Fastjson

版本

1.2.48以下版本

組件

Fastjson

五、漏洞復(fù)現(xiàn)

使用POC進(jìn)行漏洞復(fù)現(xiàn)。

六、修復(fù)方案

1.升級(jí)Fastjosn到1.2.58版本，并關(guān)閉Autotype；

2.WAF攔截Json請(qǐng)求中的多種編碼形式的‘@type’，‘\u0040type’等字樣；

3.建議盡可能使用Jackson或者Gson；

4.升級(jí)JDK版本到8u121，7u13，6u141以上。

以上就是怎么實(shí)現(xiàn)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的分析，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

標(biāo)題名稱：怎么實(shí)現(xiàn)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的分析
文章起源：http://www.chinadenli.net/article8/gshoop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、手機(jī)網(wǎng)站建設(shè)、微信小程序、移動(dòng)網(wǎng)站建設(shè)、做網(wǎng)站、面包屑導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)