fastjson1.2.80反序列化漏洞及POC代码及规避方案_fastjson 1.2.80漏洞

fastjson 1.2.80版本反序列化漏洞及POC代码及规避方案如下：

1. fastjson1.2.80反序列化漏洞描述
fastjson已使用黑白名单用于防御反序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。

2. fastjson 1.2.80版本反序列化漏洞影响版本
1.2.80及以下版本，即 <= 1.2.80。

3. fastjson1.2.80反序列化漏洞规避方案（以下任选其一）
3.1 升级到最新版本1.2.83

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.83</version>
</dependency>

3.2 开启safeMode
参考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3.2.1 java代码中设置
ParserConfig.getGlobalInstance().setSafeMode(true);

3.2.2 JVM参数中设置
-Dfastjson.parser.safeMode=true如图：