avatar
文章
17
标签
16
分类
4
主页
归档
标签
分类
清单
  • 音乐
  • 书籍
友链
关于
Linf3ng's Blog
主页
归档
标签
分类
清单
  • 音乐
  • 书籍
友链
关于

fastjson反序列化漏洞分析

发表于2021-04-05|更新于2021-04-06
|阅读量:

fastjson支持AutoType功能,即在序列化的字符串中加入@type字段,fastjson就会将数据反序列化为它指定的类型对象。当Server端存在可用的代码执行链时,如TemplatesImpl或JdbcRowSetImpl,就可以RCE。

参考链接

  1. https://xz.aliyun.com/t/8979
  2. https://xz.aliyun.com/t/9052
  3. https://www.freebuf.com/column/180711.html
文章作者: L1nf3ng
文章链接: http://example.com/2021/04/05/fastjson%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Linf3ng's Blog!
cover of previous post
上一篇
TODOList
cover of next post
下一篇
Tomcat AJP本地文件包含(CVE-2020-1938)漏洞分析
评论
avatar
L1nf3ng
写有趣的安全博文
文章
17
标签
16
分类
4
Follow Me
公告
向所有发现本博客的网友安利——飞书!
目录
  1. 1. 参考链接
最新文章
fastjson1x学习研究
fastjson1x学习研究2023-12-07
网站劫持原理
网站劫持原理2021-07-29
TODOList
TODOList2021-07-29
fastjson反序列化漏洞分析
fastjson反序列化漏洞分析2021-04-05
Tomcat AJP本地文件包含(CVE-2020-1938)漏洞分析
Tomcat AJP本地文件包含(CVE-2020-1938)漏洞分析2021-04-03
©2019 - 2024 By L1nf3ng
框架 Hexo|主题 Butterfly
Hi, welcome to new land!