- 1图书管理系统(增删改查,附源码,包含数据库交互以及图形化界面)
- 22024年最全mac下下载安装Android Studio教程,2024年最新大厂程序员面试题_android studio mac
- 3覆盖或者更改elementui组件原有样式的几种方式如下_elementui覆盖css
- 4手机无法连接使用Fidder代理
- 5# Machine Learning — TF-IDF
- 6java-php-python-家庭记账系统计算机毕业设计_python开发个人记帐系统
- 7Jetson Xavier NX套件 Ubuntu 源码编译安装Qt5.15.6_jetson 安装qt
- 8智能可视采耳棒耳勺安全吗?五款品质卓越机型分享
- 9PID算法控制小车转向_转向环pid
- 10慕课网python零基础入门教程_Python 3零基础完全入门与提高视频课程
Fastjson开启安全模式5种方法(VIP典藏版)(1)_fastjson safemode启用检查
赞
踩
1.2.61发布,增加AutoType安全黑名单 fastjson
1.2.62发布,增加AutoType黑名单、增强日期反序列化和JSONPath fastjson
1.2.66发布,Bug修复安全加固,并且做安全加固,补充了AutoType黑名单 fastjson
1.2.67发布,Bug修复安全加固,补充了AutoType黑名单 fastjson
1.2.68发布,支持GEOJSON,补充了AutoType黑名单。(引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。) fastjson
1.2.69发布,修复新发现高危AutoType开关绕过安全漏洞,补充了AutoType黑名单 fastjson
1.2.70发布,提升兼容性,补充了AutoType黑名单
1.2.83发布,修复在特定场景下可以绕过 AutoType 关闭限制的漏洞
2、AutoType是谁-为啥使用-为啥出错
http://www.ecsoon.com/web/1/165900.html
3、目前已升级至1.2.83
<dependency>
- 1
<groupId>com.alibaba</groupId>
- 1
<artifactId>fastjson</artifactId>
- 1
<version>1.2.83</version>
- 1
</dependency>
- 1
二、打开SafeMode功能
==============
在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。
以下几种方式配置SafeMode,如下:
1. 在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);
public class DemoApplication {
public static void main(String[] args) {
- 1
ParserConfig.getGlobalInstance().setSafeMode(true);
- 1
SpringApplication.run(DemoApplication.class, args);
- 1
}
- 1
}
- 注意,如果使用new ParserConfig的方式,需要注意单例处理,否则会导致低性能full gc。
2. 加上JVM启动参数
-Dfastjson.parser.safeMode=true
- 1
如果有多个包名前缀,用逗号隔开
3. 通过fastjson.properties文件配置。
通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true
4. safeMode场景如何做autoType
在1.2.68之后的版本,提供了AutoTypeCheckHandler扩展,可以自定义类接管autoType, 通过ParserConfig#addAutoTypeCheckHandler方法注册。
// com.alibaba.fastjson.parser.ParserConfig.AutoTypeCheckHandler
/**
- 1
* @since 1.2.68
- 1
*/
- 1
public interface AutoTypeCheckHandler {
- 1
Class<?> handler(String typeName, Class<?> expectClass, int features);
- 1
}
- 1
// com.alibaba.fastjson.parser.ParserConfig#addAutoTypeCheckHandler
- 1
5. 怎么判断是否用到了autoType
看序列化的代码中是否用到了SerializerFeature.WriteClassName
JSON.toJSONString(obj, SerializerFeature.WriteClassName); // 这种使用会产生@type
6. 使用JSONType.autoTypeCheckHandler
在fastjson 1.2.71版本中,提供了通过JSONType配置autoTypeCheckHandler的方法,比如:
public class JSONTypeAutoTypeCheckHandlerTest extends TestCase {
public void test_for_checkAutoType() throws Exception {
- 1
Cat cat = (Cat) JSON.parseObject("{\"@type\":\"Cat\",\"catId\":123}", Animal.class);
- 1
assertEquals(123, cat.catId);
- 1
学习路线:
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
