反序列化漏洞4-創(chuàng)新互聯(lián)

fastjson簡介

fastjson是阿里巴巴開發(fā)的java的一個庫，可以將java對象轉(zhuǎn)化為json格式的字符串，也可以將json格式的字符串轉(zhuǎn)化為java對象

10年專注成都網(wǎng)站制作，成都定制網(wǎng)站，個人網(wǎng)站制作服務(wù)，為大家分享網(wǎng)站制作知識、方案，網(wǎng)站設(shè)計流程、步驟,成功服務(wù)上千家企業(yè)。為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計及定制高端網(wǎng)站建設(shè)服務(wù),專注于成都定制網(wǎng)站,高端網(wǎng)頁制作,對食品包裝袋等多個領(lǐng)域，擁有多年的營銷推廣經(jīng)驗(yàn)。

提供了 toJSONString() 和 parseObject() 方法來將 Java 對象與 JSON 相互轉(zhuǎn)換。調(diào)用toJSONString方 法即可將對象轉(zhuǎn)換成 JSON 字符串，parseObject 方法則反過來將 JSON 字符串轉(zhuǎn)換成對象。

fastjson的優(yōu)點(diǎn) 速度快 使用廣泛 測試完備 使用簡單 功能完備 fastjson反序列化漏洞原理

在反序列化的時候，會進(jìn)入parseField方法，進(jìn)入該方法后，就會調(diào)用setValue(object, value)方法，在這里，會執(zhí)行構(gòu)造的惡意代碼，最后造成代碼執(zhí)行。 那么通過以上步驟，我們可以知道該漏洞的利用點(diǎn)有兩個，第一是需要我們指定一個類，這個類的作用是為了讓程序獲取這個類來進(jìn)行反序列化操作。第二是需要將需要執(zhí)行的代碼提供給程序，所以這里使用了rmi。 然后反序列化的時候會去請求rmi服務(wù)器，地址為： dnslog.cn/aaa。然后加載aaa這個惡意class文件從而造成代碼執(zhí)行。

利用類 com.sun.rowset.JdbcRowSetImpl dataSourceName支持傳入一個rmi的源，可以實(shí)現(xiàn)JNDI注入攻擊 版本時間線?

貢獻(xiàn)?

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級服務(wù)器適合批量采購，新人活動首月15元起，快前往官網(wǎng)查看詳情吧

文章名稱：反序列化漏洞4-創(chuàng)新互聯(lián)
網(wǎng)頁鏈接：http://muchs.cn/article4/ejsie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App開發(fā)、微信小程序、網(wǎng)站策劃、營銷型網(wǎng)站建設(shè)、企業(yè)建站、小程序開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)