Fastjson遠(yuǎn)程代碼執(zhí)行漏洞是怎樣的

今天就跟大家聊聊有關(guān)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞是怎樣的,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。

10年的南票網(wǎng)站建設(shè)經(jīng)驗(yàn),針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù),響應(yīng)快,48小時(shí)及時(shí)工作處理。全網(wǎng)營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同,自動(dòng)調(diào)整南票建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調(diào)整網(wǎng)站的寬度,無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì),從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“南票網(wǎng)站設(shè)計(jì)”,“南票網(wǎng)站推廣”以來(lái),每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

0x00 漏洞背景

2020年05月28日, 360CERT監(jiān)測(cè)發(fā)現(xiàn)業(yè)內(nèi)安全廠商發(fā)布了Fastjson遠(yuǎn)程代碼執(zhí)行漏洞的風(fēng)險(xiǎn)通告,漏洞等級(jí):高危。

Fastjson是阿里巴巴的開源JSON解析庫(kù),它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean。

Fastjson存在遠(yuǎn)程代碼執(zhí)行漏洞,autotype開關(guān)的限制可以被繞過,鏈?zhǔn)降姆葱蛄谢?code>攻擊者精心構(gòu)造反序列化利用鏈,最終達(dá)成遠(yuǎn)程命令執(zhí)行的后果。此漏洞本身無(wú)法繞過Fastjson的黑名單限制,需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

截止到漏洞通告發(fā)布,官方還未發(fā)布1.2.69版本,360CERT建議廣大用戶及時(shí)關(guān)注官方更新通告,做好資產(chǎn)自查,同時(shí)根據(jù)臨時(shí)修復(fù)建議進(jìn)行安全加固,以免遭受黑客攻擊。

0x01 風(fēng)險(xiǎn)等級(jí)

360CERT對(duì)該漏洞的評(píng)定結(jié)果如下

評(píng)定方式等級(jí)
威脅等級(jí)【高?!?/td>
影響面【廣泛】

0x02 影響版本

  • Fastjson:<= 1.2.68

0x03 修復(fù)建議

臨時(shí)修補(bǔ)建議:

  • 升級(jí)到Fastjson 1.2.68版本,通過配置以下參數(shù)開啟 SafeMode 來(lái)防護(hù)攻擊:ParserConfig.getGlobalInstance().setSafeMode(true);safeMode會(huì)完全禁用autotype,無(wú)視白名單,請(qǐng)注意評(píng)估對(duì)業(yè)務(wù)影響)

看完上述內(nèi)容,你們對(duì)Fastjson遠(yuǎn)程代碼執(zhí)行漏洞是怎樣的有進(jìn)一步的了解嗎?如果還想了解更多知識(shí)或者相關(guān)內(nèi)容,請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝大家的支持。

當(dāng)前文章:Fastjson遠(yuǎn)程代碼執(zhí)行漏洞是怎樣的
轉(zhuǎn)載來(lái)源:http://muchs.cn/article16/ihcogg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站、搜索引擎優(yōu)化、手機(jī)網(wǎng)站建設(shè)響應(yīng)式網(wǎng)站、定制網(wǎng)站、網(wǎng)站收錄

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

營(yíng)銷型網(wǎng)站建設(shè)