热门标签
热门文章
- 1C# & Unity 面向对象补全计划 之 访问修饰符
- 2一文掌握IPD体系的核心精华及MM、RM和小IPD流程如何运作_华为mm流程
- 3Selenium与WebDriver:Errno 8 Exec格式错误的多种解决方案_[errno 8] exec format error selenium
- 4C++类对象进行排序_c++类属性排序
- 5Tuxera NTFS for Mac,mac硬盘读取软件怎么使用呢_paragon ntfs for mac和texure 哪个好?
- 6WiFi模块ESP8266同阿里物联网云平台连接(超详细)_esp8266连接阿里云
- 7九州未来深度参与元宇宙标准会议周
- 8蓝牙新篇章:WebKit的Web Bluetooth API深度解析_web 获取蓝牙数据
- 9unity2D游戏开发18导出游戏
- 10约束式编程学习笔记[3] 约束求解算法实例 完全性证明框架 Term Equations及解法及证明_约束求解器公式
当前位置: article > 正文
fastjson漏洞修复:开启safeMode来禁用autoType_fastjson怎么关闭autotype
作者:我家小花儿 | 2024-08-09 15:11:42
赞
踩
fastjson怎么关闭autotype
Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击。
漏洞信息如下:
漏洞评级:严重
影响组件:com.alibaba:fastjson
影响版本:<= 1.2.80
官方建议一个是升级版本,一个是修改safeMode方式。
下面是官方给的safeMode修改建议:
修复方案来自官方github:fastjson_safemode · alibaba/fastjson Wiki · GitHub
打开SafeMode功能
在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。
有三种方式配置SafeMode,如下:
1. 在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);
- 注意,如果使用new ParserConfig的方式,需要注意单例处理,否则会导致低性能full gc。
2. 加上JVM启动参数
-Dfastjson.parser.safeMode=true
如果有多个包名前缀,用逗号隔开
3. 通过fastjson.properties文件配置。
通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true
4. safeMode场景如何做autoType
在1.2.68之后的版本,提供了AutoTypeCheckHandler扩展,可以自定义类接管autoType, 通过ParserConfig#addAutoTypeCheckHandler方法注册。
- // com.alibaba.fastjson.parser.ParserConfig.AutoTypeCheckHandler
- /**
- * @since 1.2.68
- */
- public interface AutoTypeCheckHandler {
- Class<?> handler(String typeName, Class<?> expectClass, int features);
- }
-
- // com.alibaba.fastjson.parser.ParserConfig#addAutoTypeCheckHandler
5. 怎么判断是否用到了autoType
看序列化的代码中是否用到了SerializerFeature.WriteClassName
JSON.toJSONString(obj, SerializerFeature.WriteClassName); // 这种使用会产生@type
6. 使用JSONType.autoTypeCheckHandler
在fastjson 1.2.71版本中,提供了通过JSONType配置autoTypeCheckHandler的方法,比如:
public class JSONTypeAutoTypeCheckHandlerTest extends TestCase {
public void test_for_checkAutoType() throws Exception {
Cat cat = (Cat) JSON.parseObject("{\"@type\":\"Cat\",\"catId\":123}", Animal.class);
assertEquals(123, cat.catId);
}
@JSONType(autoTypeCheckHandler = MyAutoTypeCheckHandler.class)
public static class Animal {
}
public static class Cat extends Animal {
public int catId;
}
public static class Mouse extends Animal {
}
public static class MyAutoTypeCheckHandler implements ParserConfig.AutoTypeCheckHandler {
public Class<?> handler(String typeName, Class<?> expectClass, int features) {
if ("Cat".equals(typeName)) {
return Cat.class;
}
if ("Mouse".equals(typeName)) {
return Mouse.class;
}
return null;
}
}
}
如有需要修改本注脚,请联系阿里巴巴。
本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
