FastJson爲什麼物程序員
首先抄錄一段來自官網的介紹:FastJson是阿里巴巴的開源JSON解析庫,它能夠解析JSON格式的字符串,支持將Java Bean序列化爲JSON字符串,也能夠從JSON字符串反序列化到JavaBean。web
FastJson是Java程序員經常使用到的類庫之一,相信點開這個頁面的你,也確定是程序員朋友。正如其名,「快」是其主要賣點。json
FastJson的應用
阿里巴巴FastJson是一個Json處理工具包,包括「序列化」和「反序列化」兩部分,它具有以下特徵:
速度最快,測試代表,fastjson具備極快的性能,超越任其餘的Java Json parser。包括自稱最快的JackJson;
功能強大,徹底支持Java Bean、集合、Map、日期、Enum,支持範型,支持自省;無依賴,可以直接運行在Java SE 5.0以上版本;支持Android;開源 (Apache 2.0)安全
0x01 漏洞背景svg
2020年05月28日, 360CERT監測發現業內安全廠商發佈了Fastjson遠程代碼執行漏洞的風險通告,漏洞等級:高危工具
Fastjson是阿里巴巴的開源JSON解析庫,它能夠解析JSON格式的字符串,支持將Java Bean序列化爲JSON字符串,也能夠從JSON字符串反序列化到JavaBean。性能
Fastjson存在遠程代碼執行漏洞,autotype開關的限制能夠被繞過,鏈式的反序列化攻擊者精心構造反序列化利用鏈,最終達成遠程命令執行的後果。此漏洞自己沒法繞過Fastjson的黑名單限制,須要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。測試
截止到漏洞通告發布,官方還未發佈1.2.69版本,360CERT建議廣大用戶及時關注官方更新通告,作好資產自查,同時根據臨時修復建議進行安全加固,以避免遭受黑客攻擊。
0x02 風險等級code
360CERT對該漏洞的評定結果以下xml
評定方式 等級
威脅等級 【高危】
影響面 【普遍】
0x03 影響版本
Fastjson:<= 1.2.68
0x04 修復建議
臨時修補建議:升級到Fastjson 1.2.68版本,經過配置如下參數開啓 SafeMode 來防禦攻擊:
ParserConfig.getGlobalInstance().setSafeMode(true);
safeMode會徹底禁用autotype,無視白名單,請注意評估對業務影響
0x05 時間線
2020-05-28 360CERT監測到業內安全廠商發佈漏洞通告 2020-05-28 360CERT發佈預警
0x06 參考連接 【安全通告】Fastjson <=1.2.68全版本遠程代碼執行漏洞通告: https://cloud.tencent.com/announce/detail/1112