zoukankan      html  css  js  c++  java
  • Fastjson漏洞修复参考

    漏洞背景

    Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

    Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。

    受影响的版本:

    fastjson <=1.2.68

    fastjson sec版本 <= sec9

    1. 漏洞危害

    恶意攻击者可以利用漏洞攻击做到:

    1、执行远程命令,获取服务数据

    2、执行远程命令,植入后门,控制服务器

    2. 修复思路

    1.升级至安全版本.

    2.对fastjson进行一定的安全加固措施

    3.采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson

    4.使用WAF紧急漏洞拦截,再升级到安全版本

    3. 代码修复

    1.升级至安全版本,参考下载链接:https://repo1.maven.org/maven2/com/alibaba/fastjson/

    2.对fastjson进行一定的安全加固措施

    fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)

    开启方法参考:

    打开SafeMode功能

    在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。

    有三种方式配置SafeMode,如下:

    A.在代码中配置
    ParserConfig.getGlobalInstance().setSafeMode(true);
    B.加上JVM启动参数
    -Dfastjson.parser.safeMode=true
    如果有多个包名前缀,用逗号隔开

    C.通过fastjson.properties文件配置。

    通过类路径的fastjson.properties文件来配置,配置方式如下:
    fastjson.parser.safeMode=true

    3.采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson

    逆水行舟,不进则退。
  • 相关阅读:
    ZOJ 3818 Pretty Poem
    HDU 4597 Play Game
    HDU 4497 GCD and LCM
    CSU 1335 高桥和低桥
    UVA 10791 Minimum Sum LCM
    CSU 1119 Collecting Coins
    CSU 1120 病毒
    UVA 12169 Disgruntled Judge
    HDU 1301 Jungle Roads
    POJ 1258 Agri-Net
  • 原文地址:https://www.cnblogs.com/rab3it/p/14309497.html
Copyright © 2011-2022 走看看