Java JSON 組件選型之 FastJson 為什么總有漏洞?

soゝso 2020-06-10 11:35:34 1853

最近阿里巴巴的FastJSON 又被曝出漏洞。引用一下降維安全實驗室的原述文字:

< p > 據降維安全實驗室(http://johnwick.io)報道,Fastjson version 1.2.68 全版本存在反序列化漏洞,利用該漏洞,黑客可遠程在服務器上執行任意代碼直接獲取服務器權限。

近日,阿里云應急響應中心監測到fastjson爆發新的反序列化遠程代碼執行漏洞,黑客利用漏洞,可繞過autoType限制,直接遠程執行任意命令攻擊服務器,風險極大。


此漏洞異常危險,降維安全實驗室建議使用了該java庫的相關交易所及企業及時將Fastjson升級至1.2.68版本、打開SafeMode、并持續關注fastjson官網等待1.2.69版本的更新并立即升級以防止被攻擊。更多詳細細節和緩解措施請聯系降維安全實驗室。

大白話敘述下漏洞

可能對這個漏洞看不懂,這個漏洞其實就是  XSS  ,比如提交的內容有  XSS  內容,而您反序列化對象的時候,用了  Fastjson  ,那就會出現直接執行  XSS  命令,利用相關命令可以把您服務器對應的文件列表,對應的文件內容,都可以讀取出來。

XML Dom4j 也有這個問題。比如用 !ENTITY 、SYSTEM、FILE: 等關鍵詞,就可以讀取出來您服務器的內容。本站也中招過。


漏洞到底是個怎產生的

1. 漏洞描述

fastjson采用黑白名單的方法來防御反序列化漏洞,導致當黑客不斷發掘新的反序列化Gadgets類時,在autoType關閉的情況下仍然可能可以繞過黑白名單防御機制,造成遠程命令執行漏洞。經研究,該漏洞利用門檻較低,可繞過autoType限制,風險影響較大。阿里云應急響應中心提醒fastjson用戶盡快采取安全措施阻止漏洞攻擊。

2. 影響版本

  • fastjson <=1.2.68
  • fastjson sec版本 <= sec9
  • android版本不受此漏洞影響

3. 升級方案

升級到最新版本1.2.69或者更新的1.2.70版本。

如果遇到兼容問題,原地升級sec10版本。

如果還遇到其他兼容問題,這里有更多的sec10版本 https://repo1.maven.org/maven2/com/alibaba/fastjson/

4. safeMode加固

fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,無論白名單和黑名單,都不支持autoType,可一定程度上緩解反序列化Gadgets類變種攻擊(關閉autoType注意評估對業務的影響)

4.1 開啟方法

參考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode

4.2 使用1.2.69之后的版本是否需要使用safeMode

1.2.69修復了此次發現的高危漏洞,開啟safeMode是完全關閉autoType功能,避免類似問題再次發生,這可能會有兼容問題,大家打開時需要做充分測試

以上內容來自阿里巴巴 GitHub說明:https://github.com/alibaba/fastjson/wiki/security_update_20200601 

怎么預防漏洞被利用

1.首先用到 1.2.68 版本的,先升級。

    另外我還是建議使用  Gson  或者使用  Jackson  ,優先推薦  Jackson  ,畢竟一直陪跑  Spring  系列,安全上還是有保證一點。畢竟我們追求快(都說fastjson快,其實我沒覺得)的時候,最主要的就是安全。

2.安全意識問題。

    首先項目啟動用非root用戶,權限收縮到最小,即使出現漏洞問題,造成的影響也不會太大。


版權所屬:SO JSON在線解析

原文地址:http://www.380127.tw/blog/374.html

轉載時必須以鏈接形式注明原始出處及本聲明。

本文主題:

如果本文對你有幫助,那么請你贊助我,讓我更有激情的寫下去,幫助更多的人。

關于作者
一個低調而悶騷的男人。
相關文章
網站如何設置404頁面、500等錯誤頁面,有什么漏洞?怎預防?
為什么要選擇RabbitMQ ,RabbitMQ簡介,各種MQ選型對比
為什么很多第三方接口,都改成了基于http,直接傳遞json數據的方式來代替webservice?
JSON什么?它能帶來什么?它和XML比較?
阿里云系統漏洞修復合集——高危漏洞提醒【云盾-安騎士】
為什么undefined、NaN和Infinity可以被賦值,而null不可以?
Description的作用,Description對SEO有什么影響
什么是Referer?Referer的作用?空Referer是怎回事?
對Redis的理解,Redis是什么,Redis和Memcache誰快?
中國人還相信什么?什么都不相信了!
最新文章
Autojs怎么安全加密?Autojs在線加密工具注意事項。 367
Java JSON 組件選型之 FastJson 為什么總有漏洞? 1842
使用七牛云存儲實現圖片API,自動刪除圖片方案合集 1667
神速ICP備案經驗分享,ICP備案居然一天就通過了 2662
百度加強推送URL鏈接,百度SEO強行推送鏈接JavaScript代碼案例講解。 3148
SOJSON 拓展服務器被DDos攻擊了一晚上,是如何解決的? 3659
湖南地區備案“新增網站需提交組網方案或解釋說明”,關于備案做簡單敘述 3691
企查查你是個什么企業,騙子的幫兇,詐騙的集中營,通過企查查騷擾企業電話不斷,為所欲為的企查查 10170
Java爬取百度云觀測對網站的檢測數據,獲取子域名及域名的安全信息 2666
【2020年】百度搜索詞獲取,獲取百度搜索的關鍵詞【真實有效】 8074
最熱文章
蘋果電腦Mac怎么恢復出廠系統?蘋果系統怎么重裝系統? 442066
我為什么要選擇RabbitMQ ,RabbitMQ簡介,各種MQ選型對比 422226
免費天氣API,全國天氣 JSON API接口,可以獲取五天的天氣預報 354111
最新MyEclipse8.5注冊碼,有效期到2020年 (已經更新) 324006
免費天氣API,天氣JSON API,不限次數獲取十五天的天氣預報 296041
Elasticsearch教程(四) elasticsearch head 插件安裝和使用 226688
Jackson 時間格式化,時間注解 @JsonFormat 用法、時差問題說明 186814
談談斐訊路由器劫持,你用斐訊路由器,你需要知道的事情 138553
Elasticsearch教程(一),全程直播(小白級別) 121759
Elasticsearch教程(五) elasticsearch Mapping的創建 100607

騷碼加入我們 / 千人QQ群:259217951

入群需要5元為的是沒有垃圾廣告,如果沒有QQ錢包,可以加群主拉進。

二維碼生成 來自 >> 二維碼生成器。

支付掃碼

所有贊助/開支都講公開明細,用于網站維護:贊助名單查看

查看我的收藏

正在加載... ...

时时乐上海走势图连线