Fastjson<=1.2.24反序列化分析
影响版本最早在fastjson1.2.24及之前的版本被曝存在远程代码执行漏洞,由于fastjson可以使用 @type 指定反序列化任意类,攻击者可在jdk包中查找能够构造出恶意类的方法,在其反序列化时会调用其getter或setter方法。 具体影响范围:1.2.22 <= fastjson <= 1.2.24
影响版本最早在fastjson1.2.24及之前的版本被曝存在远程代码执行漏洞,由于fastjson可以使用 @type 指定反序列化任意类,攻击者可在jdk包中查找能够构造出恶意类的方法,在其反序列化时会调用其getter或setter方法。 具体影响范围:1.2.22 <= fastjson <= 1.2.24
简介FastJson是Java的一个库,它可以将Java对象转换成JSON字符串,也可以将JSON字符串转换成Java对象 回显Fastjson使用版本在实战中如果不知道使用的是什么版本的Fastjson,可以将请求包中的 Con...