本篇文章給大家分享的是有關(guān)怎么實(shí)現(xiàn)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的分析，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。   

廣西網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營維護(hù)。創(chuàng)新互聯(lián)公司自2013年起到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

一、前言

Fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

二、漏洞簡(jiǎn)介

Fastjson 1.2.48版本以下存在反序列化漏洞補(bǔ)丁繞過。

三、漏洞危害

經(jīng)斗象安全應(yīng)急響應(yīng)團(tuán)隊(duì)分析Fastjson多處補(bǔ)丁修補(bǔ)出現(xiàn)紕漏，F(xiàn)astjson在1.2.48版本以下，無需Autotype開啟，攻擊者即可通過精心構(gòu)造的請(qǐng)求包在使用Fastjson的服務(wù)器上進(jìn)行遠(yuǎn)程代碼執(zhí)行。

四、影響范圍

產(chǎn)品

Fastjson

版本

1.2.48以下版本

組件

Fastjson

五、漏洞復(fù)現(xiàn)

使用POC進(jìn)行漏洞復(fù)現(xiàn)。

六、修復(fù)方案

1.升級(jí)Fastjosn到1.2.58版本，并關(guān)閉Autotype；

2.WAF攔截Json請(qǐng)求中的多種編碼形式的‘@type’，‘\u0040type’等字樣；

3.建議盡可能使用Jackson或者Gson；

4.升級(jí)JDK版本到8u121，7u13，6u141以上。

以上就是怎么實(shí)現(xiàn)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的分析，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。