组件漏洞 - Fastjson反序列化
漏洞描述
安全编码
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,历史上存在多个反序列化漏洞。
方案一、对于第三方依赖组件,需要及时更新版本 方案二、通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true)
运行
漏洞代码
// 使用了低版本,存在漏洞 // poc: {"@type":"java.net.Inet4Address","val":"8d5tv8.dnslog.cn"}
com.alibaba
fastjson
1.2.24
安全代码
// 尽量升级最新版本来解决漏洞
com.alibaba
fastjson
最新版