fastjson漏洞(fastjson漏洞检测工具)

fastjson再曝重大安全漏洞，严重可导致服务瘫痪

2019年9月5日，fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\\x转义字符时可能引发OOM的问题的修复。

360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪，当发送的恶意请求过多时有可能使业务直接瘫痪。

建议广大用户对自身的业务/产品进行组件自查，确认fastjson版本至少升级到1.2.60

漏洞的关键点在com.alibaba.fastjson.parser.JSONLexerBase#scanString中，当传入json字符串时，fastjson会按位获取json字符串，当识别到字符串为\\x为开头时，会默认获取后两位字符，并将后两位字符与\\x拼接将其变成完整的十六进制字符来处理：

而当json字符串是以\\x结尾时，由于fastjson并未对其进行校验，将导致其继续尝试获取后两位的字符。也就是说会直接获取到\\u001A也就是EOF：

当fastjson再次向后进行解析时，会不断重复获取EOF，并将其写到内存中，直到触发oom错误：

最终效果为：

fastjson 1.2.60版本

2019-09-03 fastjson提交修补commit

2019-09-05 360CERT发布预警

2019-09-07 周末加班升级！

PS：jackson最近也发布了多个版本进行漏洞修复。

Jackson替换fastjson的几个坑

最近fastjson漏洞频出，于是公司要求将所有的应用fastjson引用都换成jackson。这期间改造了大量应用，踩出来的坑珠峰倒进去估计也填不满。

首先是fastjson本身的一些小问题，由于其封装度很高，写起来比较偷懒。老应用中很多同事的偷懒写法，改的我几乎吐血。例如JSONArray，看似是对JSON对象的数组的封装，实际上什么都能放，就是一个ListObject，众所周知泛型写Object是最偷懒的写法，对后来者实在是太不友好了。。。遇到JSONArray的使用，改造时只能先写成ListObject，再小心翼翼的根据上下文，转换出具体类型。

说到类型转换，就不得不提JSONObject特别亲民的一系列getString()，getBigDecimal接口，写起来那叫一个方便。老应用中RESTFul接口的RequestBody也不定义Bean，直接JSONObject接着就完事，想用String就getString，当JSONObject被替换成Map的时候，再转String就不能直接用类型转换了，因为getString是兼容了其他不是String的类型的，当然也不能用String.valueOf方法，因为null类型的处理会有偏差。所以遇到这种情况，只能乖乖的自己写一个类型转换的工具类。每次看到这种 情况，我真的很想把开发的老哥揪回来问一句，你定义一个bean不香吗？

说到香，就不得不再说说我们新的真香--Jackson。fastjson在中文互联网之所以流行，顾名思义，它非常的fast。我做了一个简单的测试，分别使用fastjson和jackson，将一个Map转换成json字符串，测试结果如下

偶买噶，性能也相差无几。当然需要注意的是，自己封装jackson的工具类时，ObjectMapper最好写成单例，不然性能差不多会低上10倍吧。工具类的更换比业务逻辑的修改更容易踩坑。

说到坑，就不得不提Jackson的几个坑。在json字符串转换成bean时，jackson默认是大小写敏感的，也就是说，如果json中字段名是User，而bean的字段名是user，Jackson是不认识的，直接抛异常。解决起来倒是不复杂，ObjectMapper添加配置:

ObjectMapper mapper = new ObjectMapper();

mapper.configure(MapperFeature.ACCEPT_CASE_INSENSITIVE_PROPERTIES,true);

此外，当json中的字段，bean中不存在时，jackson并不会忽略它，默认是抛出异常。稍微有点违反直觉。通过加配置也能解决：

ObjectMapper mapper = new ObjectMapper();

mapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);

有没有什么Fastjson 漏洞的缓解策略？

JFrog DevOps 平台是不受Fastjson漏洞影响的。并且可以利用使用JFrog Xray来查找易受攻击的版本：除了暴露新的安全漏洞和威胁外，JFrog Xray SCA 工具通过自动安全扫描，让开发人员和安全团队轻松访问其软件的最新相关信息。JFrog Xray 执行 CVE 的自动上下文分析?加快解决实际可在生产中利用的漏洞的时间。JFrog 的上下文分析引擎可以检测非常量输入传递给易受此问题影响的 API 的 Java 二进制包（parse和parseObject），并验证 API 不会通过第二个参数将反序列化限制为特定类。

Fastjson 1.83漏洞利用猜想

在不久前fastjson1.2.83又爆出来了新的问题，详细内容可以参考 ，这篇文章主要是抛转引玉，写一种可能的利用思路，详细的利用链可能要等大佬们来给出了。

文内如有不妥之处，还请批评指正。

特定依赖存在下影响 ≤1.2.80

首先看白名单对比：

这里参考之前git上的白名单列表

像org.springframework中的基本全部从白名单中剔除了。

并且更改了判断方式，if (typeName.endsWith("Exception") || typeName.endsWith("Error"))

那么这里就可以猜测本次影响的方式，就是和被剔除的内容相关。这里用org.springframework.dao.CannotAcquireLockException进行测试，可以发现实际上最终调用的类是Throwable。

那么如果是要找gadget的话，就需要从黑名单下手了。本文不做分析和介绍，有兴趣找gadget的话可以去研究研究。

需要使用1.2.80和1.2.83的fastjson jar包进行测试。

maven

demo:

上重点从checkAutoType开始，简单的说一下判断过程。

首先是判断safeModeMask，通常默认是不会开的。

检测黑名单

通过黑白名单的检测，就会尝试从Mapping中获取类

走到这里如果是白名单里的内容会尝试进行加载。

并且会直接拿到对应的类，不会再进行接下来的校验。

由于存在继承调用关系，所以在进行加载的时候就会加载f1283，并且会重新进行checkAutoType的判定。

检测过程中会先将expectClassFlag置为true。

接着检测黑名单内容，Mapping获取以及白名单检测无果之后会对clazz的类型进行校验。

接着会进行新一轮的检测。

检测通过之后，会进行类继承关系判断，实际上只要继承关系正确，就会直接进行反序列化。

最后的结果

如果直接使用java.lang.Throwable会直接抛出异常。

我们来跟一下可以很清楚的看到，Throwable既不是黑名单，也不是白名单，也不是mapping中的内容。

那么在流程中就会将这个类当做一个普通的类来进行处理，通过判断autoTypeSupport为未开启的状态，从而进行抛出处理。