开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >关于 fastJson的OOM事件

关于 fastJson的OOM事件

作者头像

MickyInvQ

发布于 2020-09-27 02:21:12

发布于 2020-09-27 02:21:12

8390

举报

文章被收录于专栏：InvQ的专栏InvQ的专栏

https://cert.360.cn/warning/detail?id=82a509e4543433625d6fe4361b5802c9

360关于fastjson的告警 https://github.com/alibaba/fastjson/commit/995845170527221ca0293cf290e33a7d6cb52bf7 这是官方修复commit https://github.com/alibaba/fastjson/pull/2692/commits/b44900e5cc2a0212992fd7f8f0b1285ba77bb35d#diff-525484a4286a26dcedd7d6464925426f 这是bug示例

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2019/09/12 ，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

多租户的 4 种常用方案

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

60页PPT全解：DeepSeek系列论文技术要点整理

Fastjson 又被发现漏洞，这次危害可导致服务瘫痪！

json 编程算法安全 github https

2019年9月5日，fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。

芋道源码

2019/09/18

1K0

Fastjson 又被发现漏洞，这次危害可导致服务瘫痪！

fastjson又被发现漏洞，这次危害可导致服务瘫痪！

json 网络安全安全编程算法

IEEE Spectrum 刚刚发布了第六届编程语言排行榜。在新的排名方式下，Python 再次名列第一，而且与第二名的差距正在加大。名列后几位的分别是 Java、C 语言、C++和 R 语言。

程序员小强

2019/09/10

8230

fastjson又被发现漏洞，这次危害可导致服务瘫痪！

Fastjson姿势技巧集合

https 网络安全 jdk apache java

https://github.com/safe6Sec/ShiroAndFastJson

阿超

2022/11/10

3.2K0

Fastjson历史Gadget

java apache 缓存 com fastjson

下面的载荷用于探测目标版本，这便于我们更好确定使用的payload，同时还可以用于区分fasjtons与jackson，同时fastjson探测版本还可以用错误格式的json发过去，如果对方异常未处理则可以报出详细版本

Al1ex

2023/09/07

7910

Fastjson历史Gadget

Fastjson<=1.2.68 Autotype bypass

文件存储 java json https 网络安全

本篇文章主要对FastJSON AutoType的校验原理，以及绕过方式进行简单的分析介绍，很多的是学习记录，文章涉及的绕过方式都是"站在巨人的肩膀上"看风景的，很后悔当初去看了Jackson-databind而丢弃了fastJSON，哎....，悔不当初呀，本文涉及的所以测试示例皆以上传到GitHub：

Al1ex

2021/07/21

3.8K0

Fastjson<=1.2.68 Autotype bypass

[蠕虫级远程代码执行漏洞]CVE-2021-34527 Windows Print Spooler远程代码执行

安全 https 网络安全 github git

360网络安全响应中心通告 https://cert.360.cn/warning/detail?id=1c91a39380b3701e57d3eae7e46349fe 漏洞利用： mimikatz项

王忘杰

2022/09/22

3630

[蠕虫级远程代码执行漏洞]CVE-2021-34527 Windows Print Spooler远程代码执行

fastjson不出网代码利用

只是做个记录 Evil.java import java.io.File; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.IOException; public class Evil { // static { // try { // Runtime.getRuntime().exec(“calc.exe”); // }

Miloce

2022/09/28

8370

fastjson不出网代码利用

GIT学习----第十三节：分支管

学习目的区分‘–no-ff普通模式合并’和‘fast forward模式合并’的区别？ fast forward模式合并分支合并之前查看分支历史 $ git log --graph --pretty=oneline * 2fc181e173242bd21edad0ad0336f1a0ab0af3e7 (HEAD -> dev) add merge * 14f2011cde83c68cea09d9843b0332fd9a2de052 (tag: v1.0.0) 解决冲突提交 |\ | * e3b646

Rattenking

2021/01/30

3190

实战 | fastjson 漏洞的发现与测试

安全 java https 网络安全 shell

Fastjson 是阿里巴巴公司开源的一款 json 解析器，其性能优越，被广泛应用于各大厂商的 Java 项目中。fastjson 于 1.2.24 版本后增加了反序列化白名单，而在 1.2.48 以前的版本中，攻击者可以利用特殊构造的 json 字符串绕过白名单检测，成功执行任意命令。

信安之路

2021/12/09

9K0

实战 | fastjson 漏洞的发现与测试

小程序安全键盘&SM2解密方式

安全小程序安全检测编码工具加密

转载请著名出处:https://www.cnblogs.com/funnyzpc/p/17572445.html

上帝

2023/10/16

8051

小程序安全键盘&SM2解密方式

【docker-compose】一键部署WordPress博客

wordpress 容器镜像服务容器

至此，wordpress通过docker-compose一键安装部署完成。

宝耶需努力

2022/12/13

2.9K0

【docker-compose】一键部署WordPress博客

【漏洞通告】Linux Kernel 信息泄漏&权限提升漏洞（CVE-2020-8835）通告

https 网络安全安全 kernel linux

3月31日，选手Manfred Paul 在Pwn2Own比赛上用于演示Linux内核权限提升的漏洞被CVE收录，漏洞编号为CVE-2020-8835。此漏洞由于bpf验证系统在Linux内核中没有正确计算某些操作的寄存器限制，导致本地攻击者可以利用此缺陷越界读取机密信息(内核内存)或将用户提升为管理权限。请相关用户采取措施进行防护。

用户8478399

2022/09/22

5030

内网 HTTPS 可信证书

SSL 证书 https 网络安全 mac os linux

开发团队或者公司内部一般会采用内外网隔离、上网行为过滤等措施，比较可靠地保证了内部设备无法被外部网络所侦测，从而可能认为 HTTP 内网站点是一个相对安全的存在。即使在 HTTPS 证书如此盛行的今天，也还暂时不考虑内部站点的 HTTPS 化。IP + Port 或者 http://本地域名的访问方式依旧是座上宾。当然，如果考虑到购买 HTTPS 证书的成本或者团队内网站点采用 Letsencrypt 等免费证书过于麻烦（只能采用 DNS 验证的方式每三个月申请一次新证书），那么自签名 SSL 证书则成为首选了。不过，如果为每一个内网站点都生成一个 SSL 证书，然后让大家都手动把 HTTPS 标为可信，那么当面临大量内网站点时，大家可能要被搞崩溃。更为可行的办法是，生成一个内网用的根证书，只标记该根证书可信。

zhonger

2022/10/28

7K0

fastjson黑盒测试与白盒审计

java 文件存储 tomcat json jdk

fastjson-1.2.24 (fastjson接受的JSON可以通过@type字段来指定该JSON应当还原成何种类型的对象，在反序列化的时候方便操作) fastjson-1.248以下 (从而导致checkAutoType在检测是否为黑名单的时候绕了过去，因为上一步将com.sun.rowset.JdbcRowSetImpl放入了mapping中，checkAutoType中使用TypeUtils.getClassFromMapping(typeName)去获取class不为空，从而绕过了黑名单检测) fastjson-1.2.60以下 (在此版本以下，字符串中包含\x转义字符时可以造成dos漏洞)

黑伞安全

2020/09/18

2.3K0

GIT学习----第十二节：解决合并分支的冲突

学习目的弄清除是如何产生分支冲突？在出现冲突后如何解决冲突？产生分支冲突创建并切换分支study $ git checkout -b study Switched to a new branch 'study' 查看readme.txt文件 $ cat readme.txt Git is a version control system. Git is free software. Git is a distributed version control system. Git is free so

Rattenking

2021/01/30

5590

如何使用NinjaDroid对Android APK进行逆向工程分析

容器镜像服务 https github 网络安全

NinjaDroid是一款针对Android APK包的逆向工程分析工具。NinjaDroid使用了AXMLParser以及一系列基于aapt、keytool和string等Python包实现其功能，并能够从给定的APK包中提取出一系列信息，其中包括：

FB客服

2021/10/11

2.2K0

APK签名流程详解

数据加密服务编程算法 android SSL 证书 java

安卓的签名实际就是产生 MANIFEST.MF/ CERT.SF/ CERT.RSA这3个文件的过程。

全栈程序员站长

2022/08/26

1.3K0

Fastjson：我一路向北，离开有你的季节（上）

java http php json 文件存储

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点，应用范围广泛。

Gamma实验室

2022/12/01

8530

Fastjson：我一路向北，离开有你的季节（上）

Git常用命令、分支管理

腾讯git代码托管（工蜂）git github

代码托管中心的任务：维护远程库局域网环境下：GitLab服务器外网环境下：码云

桑鱼

2020/03/17

4580

Git 是如何工作的

存储编程算法 git

Git 是一个分布式的版本控制系统，这意味着它使用多个本地存储库，包括一个集中式存储库和服务器，它在从前端工作中抽象出底层机制方面做得非常出色。虽然 Git 已经演变成一个成熟的版本控制管理系统，但这并不是作者最初的意图，但并不影响它成为最为世界上最为出色、优雅的工具之一。Git 的好处在于，你可以在整个职业生涯中都不知道 Git 内部是如何工作的，但你依然可以和它相处得很好。但当你了解了 Git 如何管理您的存储库将有助于打开你的思维方式，并让您更深入地了解 Git 。

政采云前端团队

2022/12/01

2.2K0

相关推荐

Fastjson 又被发现漏洞，这次危害可导致服务瘫痪！

更多 >

LV.1

后端工程师

作者相关精选

换一批

加入讨论

的问答专区 >

项目经理擅长1个领域

相关课程

一站式学习中心 >

EdgeOne一站式玩转网站加速与防护实战营