FastJSON反序列化共8篇
排序
FastJSON 反序列化到底干了啥?一文看懂它是如何利用反射机制的!
🔍 剖析FastJSON 反序列化是如何利用的反射机制 📌 一、反序列化是什么? 反序列化(Deserialization):将字符串形式的数据(如 JSON)转成 Java 对象的过程。 举个例子,有一个 Java 类: p...
FastJSON × JdbcRowSetImpl 利用链是否还有效?全面解析如何突破 JDK 安全限制
☣️ FastJSON × JdbcRowSetImpl 反序列化利用分析 📌 一、类简介:JdbcRowSetImpl 全类名:com.sun.rowset.JdbcRowSetImpl JDK 自带类(Java 8–21+ 均内置) 原本用途:通过 JNDI 查询并连接...
全网最全!FastJSON 静态规则图鉴,写了就能查!
🧠 FastJSON 静态代码分析规则大全 🎯 在审计时如何快速定位关键位置,可以使用下面的正则来查询,适用于 Java 代码安全审计场景,辅助你快速检测 ✅ 1:检测是否显式开启 AutoType 🎯 正则 P...
FastJSON + MQ 实现反序列化漏洞攻击链
🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链 在现代微服务架构中,消息中间件(如 Kafka、RocketMQ、RabbitMQ)被广泛用于服务解耦与异步通信。然而,这也带来了新的攻击面,尤其是当与 Fast...
原来 FastJSON 是个“延时炸弹”💣
💥 为什么 FastJSON 漏洞不是在 parse() 阶段触发,而是在 toString() 等方法中爆发? 在渗透测试中,FastJSON 的反序列化漏洞是一个“老面孔”了。但很多新手刚开始接触时,会有一个疑惑: “...
Spring MVC + FastJSON:反序列化攻击是怎么一步步发生的?
🧠 Spring MVC 是怎么悄咪咪地调用了 FastJSON 来反序列化的? 🌟 一句话总结: 你只写了一句 @RequestBody Object data,Spring 就自动帮你用 FastJSON 把请求体中的 JSON 字符串,转成了一个 ...
渗透测试实战:FastJSON漏洞如何在黑盒场景中精准触发?
🧨 FastJSON 渗透实战指南 1️⃣ 什么是 FastJSON? FastJSON 是阿里巴巴开源的一款高性能 Java JSON 解析库,用于将 JSON 字符串转换为 Java 对象,或将 Java 对象序列化为 JSON。 👉 开发者最...
DNS 一响,漏洞登场!FastJSON 不出网探针全攻略
🧨 FastJSON “不出网验证” 全解析 从一次普通的 POST 请求,如何判断目标后端用了 FastJSON?还能不能打?是否开启了 AutoType?今天给你掰开揉碎讲清楚:如何在“目标无法访问公网”的条件下...
