fastjson漏洞分析
fastjson介绍
fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON 表示形式。它还可以用于将 JSON 字符串转换为等效的 Java 对象。Fastjson 可以处理任意的 Java 对象,包括没有源代码的预先存在的对象。
json -> bean
java 的核心就是对象的操作,fastjson 同样遵循这个原则利用get、set操作对象。将 User 对象转化为JSON字符串后,通过其提供的 parse() 方法就可将字符串还原成对象。
json框架探测
json框架识别
不同的json框架在解析json字符串的表现形式各不相同,利用其独特性质可以对json框架进行识别。举例现存在一个User对象,分析 json 反序列化时的性质。
jackson
-
严格要求与bean对象对齐,可少不能多,因此添加多余kv 报错
-
无法解析单引号 报错
-
无法识别注释符 报错
gson
-
浮点无法转整数 报错,向 int 类型的值传浮点数无法解析会报错
-
特有解析 报错,遇到 # 时都会当注释符处理
文章来源:https://www.toymoban.com/news/detail-546483.html -
特有解析 报错,拼接一个json字符串时会报错
文章来源地址https://www.toymoban.com/news/detail-546483.html
到了这里,关于Tcsec安全研究院|fastjson漏洞分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
