当前位置:   article > 正文

Fastjson AutoType_dfastjson.parser.autotypesupport如何添加

dfastjson.parser.autotypesupport如何添加

Fastjson 1.2.24特性

Fastjson 1.2.24有两个特性:

  • 默认开启AutoType选项
  • 在处理以@type形式传入的类的时候,会默认调用该类的共有set\get\is函数

于是乎,攻击者可以配合一些存在问题的类,来实现RCE,这也是Fastjson 系列的第一个RCE安全通告问题:

https://github.com/alibaba/fastjson/wiki/security_update_20170315

随后,为例解决该漏洞问题,在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能是受限的,增加了checkAutoType采用白名单和黑名单的方式对加载的第三方类库进行检查,这也是后续一系列Fastjson黑名单绕过导致RCE的源头~

AutoType功能使用

在开发项目时,如果我们需要使用到AutoType是可以采用以下几种开启方式:

添加autotype白名单

添加白名单有三种方式,三选一,如下:

1、. 在代码中配置

ParserConfig.getGlobalInstance().addAccept("com.taobao.pac.client.sdk.dataobject.");

如果有多个包名前缀,分多次addAccept

2、加上JVM启动参数

-Dfastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao.

如果有多个包名前缀,用逗号隔开

3. 通过fastjson.properties文件配置

在1.2.25/1.2.26版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. // 如果有多个包名前缀,用逗号隔开

打开autotype功能

如果通过配置白名单解决不了问题,可以选择继续打开autotype功能,fastjson在新版本中内置了多重防护,但是还是可能会存在一定风险。两种方法打开autotype,二选一,如下:

1、JVM启动参数

-Dfastjson.parser.autoTypeSupport=true

2、代码中设置

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

如果有使用非全局ParserConfig则用另外调用setAutoTypeSupport(true);

配置autoType黑名单

打开AutoType之后,是基于内置黑名单来实现安全的,但黑名单是穷举不完的,如果发现了新的风险类,可以通过以下配置来增加黑名单:

1、配置JVM启动参数

-Dfastjson.parser.deny=xx.xxx

这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开

2、通过fastjson.properties来配置

在1.2.25之后的版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:

-Dfastjson.parser.deny=xx.xxx

这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开

3、代码中配置

ParserConfig.getGlobalInstance().addDeny("xx.xxx");

这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开

AutoType安全讨论

AutoType在提供便捷的同时,也带来了安全隐患问题,在使用Fastjson是如果不必须则建议关闭该选项,同时使用的第三方库也要及时更新为好,关注官方的版本迭代,防止潜在的漏洞产生危害~

 

参考链接:https://github.com/alibaba/fastjson/wiki/enable_autotype

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/正经夜光杯/article/detail/953809
推荐阅读
相关标签
  

闽ICP备14008679号