FastJson安全风险：多版本反序列化漏洞详解

FastJson 是一款由阿里巴巴开发并开源的 Java JSON 库，因其高效性能和易用性，在 Web 服务和 Android 开发中被广泛应用。它提供了一对一的 Java 对象与 JSON 字符串之间的转换功能，包括 `JSONString()` 方法将对象转成 JSON 和 `parseObject()` 方法解析 JSON 成对象。然而，这一流行工具也存在一些安全漏洞。 在特定版本中，FastJson 存在了反序列化远程代码执行（RCE）漏洞。以下是受影响的部分版本及其对应漏洞编号： 1. FastJson-1.2.24_rce.py: 这个版本及之前的 FastJson 在处理恶意构造的 JSON 数据时，由于缺乏足够的安全措施，可能导致远程攻击者利用反序列化过程执行任意命令，造成系统安全风险。 2. FastJson-1.2.41_rce.py 至 FastJson-1.2.66_rce.py: 这些版本同样存在类似的安全漏洞，意味着只要是这些版本范围内的 FastJson，都可能成为攻击者的靶点。 漏洞的指纹特征主要有两种检测方法： 1. **包头识别**: 攻击者可以通过发送带有未闭合花括号的 POST 请求（例如 `{"example":}`），观察服务器返回的包头信息。如果包头包含 "fastjson" 字样，这可能是 FastJson 库在处理请求。不过，这种检测方法可能存在误报，因此建议结合其他方法进行确认。 2. **DNSLog 盲打**: 更为推荐的一种检测方式是构造特定的 JSON payload，如 `{"zeo": {"@type": "java.net.Inet4Address", "val": "ntel8h.dnslog.cn"}}`，然后将 content-type 设置为 `application/json`。这些 payload 如果被 FastJson 反序列化处理，可能会触发漏洞，从而暴露到 DNSLog 平台或其他监控工具，通过分析异常流量来发现潜在的漏洞利用尝试。 针对这些漏洞，用户应尽快更新 FastJson 到最新安全版本，确保修复已知的 RCE 漏洞，并实施安全配置，比如禁用不必要的反序列化功能，或者对输入进行严格的验证和清理，以防止恶意数据注入。同时，保持良好的安全意识和及时的补丁管理对于避免此类漏洞的影响至关重要。