依赖中配置fastjson后依旧爆红,不知道如何使用fastjson
先查一下 fastjson jar 包是否正常引用
项目的build.gradle中添加依赖时使用exclude来排除其他与Fastjson冲突的库
与原生的java反序列化相比,FastJson未使用readObject()方法进行反序列化,而是使用了自定义的一套方法,在反序列化的过程中,调用getter和setter方法将JSON字符串还原成对象。
1.2.24版本发布了反序列化漏洞,1.2.25关闭了默认开启的AutoType并加入黑名单
1.2.41和1.2.42 对类名处理不当,造成黑名单绕过
1.2.45中发现了不在黑名单中的利用类
1.2.47中发现了缓存机制可以绕过AutoType
1.2.68又通过缓存绕过了AutoType
从上述Fastjson反序列化漏洞的演化历程可以看出,针对Fastjson的漏洞挖掘主要在于以下两个方面。
· 寻找新的利用链,绕过黑名单。
· 寻找绕过AutoType的方式。