本篇文章給大家分享的是有關怎么實現(xiàn)Fastjson遠程代碼執(zhí)行漏洞的分析，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。   

廣西網站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網頁設計、網站建設、微信開發(fā)、APP開發(fā)、響應式網站等網站項目制作，到程序開發(fā)，運營維護。創(chuàng)新互聯(lián)公司自2013年起到現(xiàn)在10年的時間，我們擁有了豐富的建站經驗和運維經驗，來保證我們的工作的順利進行。專注于網站建設就選創(chuàng)新互聯(lián)公司。

一、前言

Fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

二、漏洞簡介

Fastjson 1.2.48版本以下存在反序列化漏洞補丁繞過。

三、漏洞危害

經斗象安全應急響應團隊分析Fastjson多處補丁修補出現(xiàn)紕漏，F(xiàn)astjson在1.2.48版本以下，無需Autotype開啟，攻擊者即可通過精心構造的請求包在使用Fastjson的服務器上進行遠程代碼執(zhí)行。

四、影響范圍

產品

Fastjson

版本

1.2.48以下版本

組件

Fastjson

五、漏洞復現(xiàn)

使用POC進行漏洞復現(xiàn)。

六、修復方案

1.升級Fastjosn到1.2.58版本，并關閉Autotype；

2.WAF攔截Json請求中的多種編碼形式的‘@type’，‘\u0040type’等字樣；

3.建議盡可能使用Jackson或者Gson；

4.升級JDK版本到8u121，7u13，6u141以上。

以上就是怎么實現(xiàn)Fastjson遠程代碼執(zhí)行漏洞的分析，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

標題名稱：怎么實現(xiàn)Fastjson遠程代碼執(zhí)行漏洞的分析
文章起源：http://chinadenli.net/article8/gshoop.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供網站改版、手機網站建設、微信小程序、移動網站建設、做網站、面包屑導航

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)