今天就跟大家聊聊有關(guān)fastjson<=1.2.62遠(yuǎn)程代碼執(zhí)行漏洞的示例分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

成都創(chuàng)新互聯(lián)公司是少有的成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、營銷型企業(yè)網(wǎng)站、小程序制作、手機(jī)APP,開發(fā)、制作、設(shè)計(jì)、友情鏈接、推廣優(yōu)化一站式服務(wù)網(wǎng)絡(luò)公司,2013年開創(chuàng)至今,堅(jiān)持透明化,價(jià)格低,無套路經(jīng)營理念。讓網(wǎng)頁驚喜每一位訪客多年來深受用戶好評

0x00 漏洞背景

2020年02月日， 360CERT監(jiān)測到友商發(fā)布了fastjson<=1.2.62遠(yuǎn)程代碼執(zhí)行漏洞通告。

fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

此次漏洞是由于CVE-2020-8840的gadget繞過了fastjson的黑名單而導(dǎo)致的，當(dāng)服務(wù)端存在收到漏洞影響的xbean-reflect依賴并且開啟fastjson的autotype時(shí)，遠(yuǎn)程攻擊者可以通過精心構(gòu)造的請求包觸發(fā)漏洞從而導(dǎo)致在服務(wù)端上造成遠(yuǎn)程命令執(zhí)行的效果。

0x01 風(fēng)險(xiǎn)等級

360CERT對該漏洞進(jìn)行評定

評定方式	等級
威脅等級	中危
影響面	一般

360CERT建議廣大用戶及時(shí)更新fastjson版本。做好資產(chǎn) 自查/自檢/預(yù)防 工作，以免遭受攻擊。

0x02 影響版本

fastjson <= 1.2.62

0x03 漏洞證明

0x04 修復(fù)建議

1.fastjson默認(rèn)關(guān)閉autotype，請?jiān)陧?xiàng)目源碼中全文搜索以下代碼，找到并將此代碼刪除：

 ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2.將JDK升級到最新版本。

0x05 產(chǎn)品側(cè)解決方案

360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)

360安全大腦的QUAKE資產(chǎn)測繪平臺(tái)通過資產(chǎn)測繪技術(shù)手段，對該類 漏洞/事件 進(jìn)行監(jiān)測，請用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人獲取對應(yīng)產(chǎn)品。

360AISA全流量威脅分析系統(tǒng)

360AISA基于360海量安全大數(shù)據(jù)和實(shí)戰(zhàn)經(jīng)驗(yàn)訓(xùn)練的模型，進(jìn)行全流量威脅檢測，實(shí)現(xiàn)實(shí)時(shí)精準(zhǔn)攻擊告警，還原攻擊鏈。

目前產(chǎn)品具備該漏洞/攻擊的實(shí)時(shí)檢測能力。

看完上述內(nèi)容，你們對fastjson<=1.2.62遠(yuǎn)程代碼執(zhí)行漏洞的示例分析有進(jìn)一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

當(dāng)前標(biāo)題：fastjson<=1.2.62遠(yuǎn)程代碼執(zhí)行漏洞的示例分析
地址分享：http://vcdvsql.cn/article38/pdeosp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、網(wǎng)站改版、小程序開發(fā)、域名注冊、網(wǎng)站內(nèi)鏈、標(biāo)簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)