一、漏洞概述 fastjson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的set/get方法来访问属性,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,即可构造出一些恶意利用链。在Fastjson 1.2.47及以下版本中,...
fastjson 代码执行 (CNVD-2017-02833) 1. 漏洞基本原理 Fastjson 是一个 Java 库,用于将 Java 对象转换为 JSON 格式,以及将 JSON 字符串转换为 Java 对象。在解析 JSON 的过程中,Fastjson 支持使用 @type 字段来指定反序列化的类型,并调用该类的 set/get 方法来访问属性。当组件开启了 autotype 功能并且反序...
fastjson-CNVD-2017-02833漏洞复现 woshidatianguan 2023-07-22 15:36:26 150603 所属地 北京Fastjson 1.2.24 远程代码执行漏洞 1.简介 1.1 fastjson Fastjson是一个Java语言编写的JSON(JavaScript Object Notation)处理库,它提供了高效且方便的方式来实现Java对象与JSON之间的互相转换。Fastjson具有以下特点:...
付费 漏洞 关于某xx网络考试系统的代码审计。 aboood 250134围观·5·132023-09-18 端口敲击守护程序之DC-9原创 Web安全 端口敲击守护程序之DC-9 杳若 114313围观·112023-09-17 解读GBT 22240-2020 《信息安全技术 网络安全等级保护定级指南》原创 标准与合规 ...
Fastjson代码执行 (CNVD-2017-02833) 0x01 前言 前一阵子看到一个Fastjson的burpsuite插件https://github.com/pmiaowu/BurpFastJsonScan 装上之后发现并没有扫出vulhub靶场的漏洞环境,于是有了这一篇漏洞复现文章 靶场地址:https://vulfocus.cn/,启动环境