您现在的位置是:首页 > Javascript
当前栏目
FastJson反序列化漏洞修复
2023-02-18 16:34:49 时间
最近收到渗透测试报告,发现我们系统存在 fastjson 反序列化高危漏洞,
排查问题
排查发现我们 fastjson 的版本在此前已经升级到 1.2.83 版本了,决定测试复现看看,
先访问 http://dnslog.cn/
点击 Get SubDomain
打开 Postman
Payload
{"x":{"@type":"java.net.InetSocketAddress"{"address":,"val":"ukq4kj.dnslog.cn"}}}
复制上面的链接,然后请求接口,再 Refresh Record
如果有IP回显则表示存在漏洞
修复
看公告说今年5月份的时候就已进行修复,我们的版本也升级到 1.2.83
了,但还是能通过 dnslog 进行回显
查看 GitHub 发现最近也有反馈这个问题
考虑到升级 2.x 版本可能会有兼容性问题,没有进行升级,通过 safeMode 加固的方式进行修复,希望官方尽快退出新的修复版本。
修复方案如下:
- 方案一:启动脚本增加 -Dfastjson.parser.safeMode=true
- 方案二:启动类添加:ParserConfig.getGlobalInstance().setSafeMode(true);
- 方案三:升级 fastjson 2.x 版本
安全问题不能掉以轻心,持续跟进中...
相关文章
- 一起手写JS函数的call、apply、bind
- 记录下最近开发中fastjson的坑-fastjson出现json解析异常
- JSON语法格式
- iOS小技能:WKWebView与JS的交互
- java小技能:JWT(json web token)认证实现
- 请你说一说Java 和 JavaScript的区别?
- requests.post 方法 json 和 data 参数的区别
- JS算法之动态规划
- JS_基础知识点精讲
- JS_手写实现
- JS算法_知识点精讲
- .NET7 gRPC JSON转码+OpenAPI
- 一门看懂Node处理CPU密集型任务的方法有哪些
- 使用Node构建一个高效的静态文件服务器
- 一文带你看懂Node的Buffer类
- JavaScript刷LeetCode拿offer-高频40题
- 用javascript分类刷leetcode--位运算(图文视频讲解)
- JavaScript刷LeetCode拿offer之失败-滑动窗口
- 用javascript分类刷leetcode---动态规划(图文视频讲解)
- 手写JavaScript常见5种设计模式1