亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

fastjson<=1.2.62遠程代碼執行漏洞的示例分析

發布時間:2021-12-13 18:52:17 來源:億速云 閱讀:595 作者:柒染 欄目:大數據

今天就跟大家聊聊有關fastjson<=1.2.62遠程代碼執行漏洞的示例分析,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結了以下內容,希望大家根據這篇文章可以有所收獲。

0x00 漏洞背景

2020年02月日, 360CERT監測到友商發布了fastjson<=1.2.62遠程代碼執行漏洞通告。

fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean。

此次漏洞是由于CVE-2020-8840gadget繞過了fastjson的黑名單而導致的,當服務端存在收到漏洞影響的xbean-reflect依賴并且開啟fastjson的autotype時,遠程攻擊者可以通過精心構造的請求包觸發漏洞從而導致在服務端上造成遠程命令執行的效果。

0x01 風險等級

360CERT對該漏洞進行評定

評定方式等級
威脅等級中危
影響面一般

360CERT建議廣大用戶及時更新fastjson版本。做好資產 自查/自檢/預防 工作,以免遭受攻擊。

0x02 影響版本

fastjson <= 1.2.62

0x03 漏洞證明

fastjson<=1.2.62遠程代碼執行漏洞的示例分析fastjson<=1.2.62遠程代碼執行漏洞的示例分析

0x04 修復建議

1.fastjson默認關閉autotype,請在項目源碼中全文搜索以下代碼,找到并將此代碼刪除:

 ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2.將JDK升級到最新版本。

    0x05 產品側解決方案

    360城市級網絡安全監測服務

    360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類 漏洞/事件 進行監測,請用戶聯系相關產品區域負責人獲取對應產品。

    360AISA全流量威脅分析系統

    360AISA基于360海量安全大數據和實戰經驗訓練的模型,進行全流量威脅檢測,實現實時精準攻擊告警,還原攻擊鏈。

    目前產品具備該漏洞/攻擊的實時檢測能力。

    看完上述內容,你們對fastjson<=1.2.62遠程代碼執行漏洞的示例分析有進一步的了解嗎?如果還想了解更多知識或者相關內容,請關注億速云行業資訊頻道,感謝大家的支持。

    向AI問一下細節

    免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

    AI

    千阳县| 柳江县| 雷山县| 双城市| 静安区| 辉南县| 买车| 保康县| 台州市| 高平市| 孟村| 金门县| 昭觉县| 临澧县| 富蕴县| 四平市| 招远市| 益阳市| 玉溪市| 汉阴县| 林甸县| 沈阳市| 通许县| 蒙山县| 九龙县| 江口县| 揭阳市| 特克斯县| 胶州市| 杨浦区| 聂荣县| 叶城县| 青铜峡市| 中宁县| 信宜市| 沧源| 曲松县| 屏边| 罗山县| 上高县| 巴南区|