Fastjson簡介

Fastjson是一個Java語言編寫的高性能功能完善的JSON庫。它采用一種“假定有序快速匹配”的算法，把JSON Parse的性能提升到極致，是目前Java語言中最快的JSON庫。Fastjson接口簡單易用，已經被廣泛使用在緩存序列化、協議交互、Web輸出、Android客戶端等多種應用場景。

漏洞概要

2017年3月15日，Fastjson 官方發布安全公告，該公告介紹fastjson在1.2.24以及之前版本存在代碼執行漏洞代碼執行漏洞，惡意攻擊者可利用此漏洞進行遠程代碼執行，從而進一步入侵服務器，目前官方已經發布了最新版本，最新版本已經成功修復該漏洞。

漏洞詳情

漏洞編號:暫無

漏洞名稱:Fastjson遠程代碼執行漏洞

官方評級:高危

漏洞描述:

fastjson在1.2.24以及之前版本存在代碼執行漏洞，當用戶提交一個精心構造的惡意的序列化數據到服務器端時，fastjson在反序列化時存在漏洞，可導致遠程任意代碼執行漏洞。

漏洞利用條件和方式:

黑客可以遠程代碼執行成功利用該漏洞。

漏洞影響范圍:

1.2.24及之前版本

漏洞檢測

檢查fastjson 版本是否在1.2.24版本內

ps?aux?|?grep?fastjson

POC

暫無

WAF檢測辦法

檢測post內容中是否包含如下字符

"@type"

漏洞修復建議(或緩解措施)

目前官方已經發布了最新版本，該版本已經成功修復該漏洞。

阿里云上用戶建議采用以下兩種方式將fastjson升級到1.2.28或者更新版本：

更新方法如下：

1.Maven 依賴配置更新

通過 maven 配置更新，使用最新版本，如下：

com.alibaba

fastjson

1.2.28

2.最新版本下載

3.云盾WAF防護

如果您無法及時升級fastjson，您可以選用阿里云云盾WAF自動防護。

情報來源

總結

以上是生活随笔為你收集整理的android fastjson漏洞_【漏洞预警】Fastjson 远程代码执行漏洞(暂无PoC)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。