关于安全:fastjson调研

44次阅读

共计 355 个字符,预计需要花费 1 分钟才能阅读完成。

  • 如何发现存在 Fastjson 破绽的网站
    从 fastjson 破绽造成的起因看,是指标网站在解析 json 时,未对 json 内容进行验证,间接将 json 解析成 java 对象并执行,这就给了攻击者可乘之机,结构对应的 payload,让零碎执行,而后达到代码执行,甚至命令执行的目标。

    所以寻找存在 Fastjson 破绽的办法,就是先找到参数中内容是 json 数据的接口,而后应用结构好的测试 payload 进行提交验证,检测原理跟 sql 注入差不多,首先找到参数提交的中央,而后再用 payload 尝试。

https://cloud.tencent.com/dev… Fastjson 探测简介 原理
https://blog.csdn.net/qq_5085… 检测工具
https://www.wangan.com/p/7fy7… 实战

正文完
 0