@深巷
3年前 提问
1个回答

fastjson反序列化漏洞

上官雨宝
3年前

fastjson反序列化漏洞就是指攻击者通过Fastjson可以将java的对象转换成json的形式可以传入一个恶意构造的JSON内容,程序对其进行反序列化后得到恶意类并执行了恶意类中的恶意函数,进而导致代码执行。

在某些情况下进行反序列化时会将反序列化得到的类的构造函数、getter方法、setter方法执行一遍,如果这三种方法中存在危险操作,则可能导致反序列化漏洞的存在。换句话说,就是攻击者传入要进行反序列化的类中的构造函数、getter方法、setter方法中要存在漏洞才能触发。

漏洞原理总结

- 若反序列化指定类型的类如“Student obj = JSON.parseObject(text, Student.class);”,该类本身的构造函数、setter方法、getter方法存在危险操作,则存在Fastjson反序列化漏洞;
- 若反序列化未指定类型的类如“Object obj = JSON.parseObject(text, Object.class);”,该若该类的子类的构造方法、setter方法、getter方法存在危险操作,则存在Fastjson反序列化漏洞。