fastjson簡(jiǎn)介

fastjson是阿里巴巴開發(fā)的java的一個(gè)庫(kù)，可以將java對(duì)象轉(zhuǎn)化為json格式的字符串，也可以將json格式的字符串轉(zhuǎn)化為java對(duì)象

10年專注成都網(wǎng)站制作，成都定制網(wǎng)站，個(gè)人網(wǎng)站制作服務(wù)，為大家分享網(wǎng)站制作知識(shí)、方案，網(wǎng)站設(shè)計(jì)流程、步驟,成功服務(wù)上千家企業(yè)。為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì)及定制高端網(wǎng)站建設(shè)服務(wù),專注于成都定制網(wǎng)站,高端網(wǎng)頁(yè)制作,對(duì)食品包裝袋等多個(gè)領(lǐng)域，擁有多年的營(yíng)銷推廣經(jīng)驗(yàn)。

提供了 toJSONString() 和 parseObject() 方法來(lái)將 Java 對(duì)象與 JSON 相互轉(zhuǎn)換。調(diào)用toJSONString方 法即可將對(duì)象轉(zhuǎn)換成 JSON 字符串，parseObject 方法則反過(guò)來(lái)將 JSON 字符串轉(zhuǎn)換成對(duì)象。

fastjson的優(yōu)點(diǎn) 速度快 使用廣泛 測(cè)試完備 使用簡(jiǎn)單 功能完備 fastjson反序列化漏洞原理

在反序列化的時(shí)候，會(huì)進(jìn)入parseField方法，進(jìn)入該方法后，就會(huì)調(diào)用setValue(object, value)方法，在這里，會(huì)執(zhí)行構(gòu)造的惡意代碼，最后造成代碼執(zhí)行。 那么通過(guò)以上步驟，我們可以知道該漏洞的利用點(diǎn)有兩個(gè)，第一是需要我們指定一個(gè)類，這個(gè)類的作用是為了讓程序獲取這個(gè)類來(lái)進(jìn)行反序列化操作。第二是需要將需要執(zhí)行的代碼提供給程序，所以這里使用了rmi。 然后反序列化的時(shí)候會(huì)去請(qǐng)求rmi服務(wù)器，地址為： dnslog.cn/aaa。然后加載aaa這個(gè)惡意class文件從而造成代碼執(zhí)行。

利用類 com.sun.rowset.JdbcRowSetImpl dataSourceName支持傳入一個(gè)rmi的源，可以實(shí)現(xiàn)JNDI注入攻擊 版本時(shí)間線?

貢獻(xiàn)?

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級(jí)流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級(jí)服務(wù)器適合批量采購(gòu)，新人活動(dòng)首月15元起，快前往官網(wǎng)查看詳情吧

文章名稱：反序列化漏洞4-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)鏈接：http://chinadenli.net/article4/ejsie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App開發(fā)、微信小程序、網(wǎng)站策劃、營(yíng)銷型網(wǎng)站建設(shè)、企業(yè)建站、小程序開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)