FastJson为什么物程序员
首先抄录一段来自官网的介绍:FastJson是阿里巴巴的开源JSON解析库,它能够解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也能够从JSON字符串反序列化到JavaBean。web
FastJson是Java程序员经常使用到的类库之一,相信点开这个页面的你,也确定是程序员朋友。正如其名,“快”是其主要卖点。json
FastJson的应用
阿里巴巴FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,它具有以下特征:
速度最快,测试代表,fastjson具备极快的性能,超越任其余的Java Json parser。包括自称最快的JackJson;
功能强大,彻底支持Java Bean、集合、Map、日期、Enum,支持范型,支持自省;无依赖,可以直接运行在Java SE 5.0以上版本;支持Android;开源 (Apache 2.0)安全
0x01 漏洞背景svg
2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastjson远程代码执行漏洞的风险通告,漏洞等级:高危工具
Fastjson是阿里巴巴的开源JSON解析库,它能够解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也能够从JSON字符串反序列化到JavaBean。性能
Fastjson存在远程代码执行漏洞,autotype开关的限制能够被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞自己没法绕过Fastjson的黑名单限制,须要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。测试
截止到漏洞通告发布,官方还未发布1.2.69版本,360CERT建议广大用户及时关注官方更新通告,作好资产自查,同时根据临时修复建议进行安全加固,以避免遭受黑客攻击。
0x02 风险等级code
360CERT对该漏洞的评定结果以下xml
评定方式 等级
威胁等级 【高危】
影响面 【普遍】
0x03 影响版本
Fastjson:<= 1.2.68
0x04 修复建议
临时修补建议:升级到Fastjson 1.2.68版本,经过配置如下参数开启 SafeMode 来防御攻击:
ParserConfig.getGlobalInstance().setSafeMode(true);
safeMode会彻底禁用autotype,无视白名单,请注意评估对业务影响
0x05 时间线
2020-05-28 360CERT监测到业内安全厂商发布漏洞通告 2020-05-28 360CERT发布预警
0x06 参考连接 【安全通告】Fastjson <=1.2.68全版本远程代码执行漏洞通告: https://cloud.tencent.com/announce/detail/1112