溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
今天就跟大家聊聊有關fastjson<=1.2.62遠程代碼執行漏洞的示例分析,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結了以下內容,希望大家根據這篇文章可以有所收獲。
0x00 漏洞背景
2020年02月日, 360CERT監測到友商發布了fastjson<=1.2.62遠程代碼執行漏洞通告。
fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean。
此次漏洞是由于CVE-2020-8840的gadget繞過了fastjson的黑名單而導致的,當服務端存在收到漏洞影響的xbean-reflect依賴并且開啟fastjson的autotype時,遠程攻擊者可以通過精心構造的請求包觸發漏洞從而導致在服務端上造成遠程命令執行的效果。
360CERT對該漏洞進行評定
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 中危 |
| 影響面 | 一般 |
360CERT建議廣大用戶及時更新fastjson版本。做好資產 自查/自檢/預防 工作,以免遭受攻擊。
fastjson <= 1.2.62
1.fastjson默認關閉autotype,請在項目源碼中全文搜索以下代碼,找到并將此代碼刪除:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
2.將JDK升級到最新版本。
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類 漏洞/事件 進行監測,請用戶聯系相關產品區域負責人獲取對應產品。
360AISA基于360海量安全大數據和實戰經驗訓練的模型,進行全流量威脅檢測,實現實時精準攻擊告警,還原攻擊鏈。
目前產品具備該漏洞/攻擊的實時檢測能力。
看完上述內容,你們對fastjson<=1.2.62遠程代碼執行漏洞的示例分析有進一步的了解嗎?如果還想了解更多知識或者相關內容,請關注億速云行業資訊頻道,感謝大家的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
