[alibaba/fastjson]为什么一个序列化库三天两头的就爆远程执行漏洞?

2024-05-22 358 views
1

为什么一个序列化库三天两头的就爆远程执行漏洞?安静做一个工具库不好吗/?

回答

5

改名unsafejson

9

很抱歉给你带来麻烦了。fastjson从2016年以来,多次发现了漏洞,其中一个原因是被针对性广泛研究。漏洞的原因,主要是autoType功能,考虑兼容的原因,修复的方案不彻底。

在1.2.69以及兼容升级版本sec10中,提供了safeMode完全关闭autoType功能,通过配置safeMode=true,可以彻底解决此问题再次出现。

升级方案: https://github.com/alibaba/fastjson/wiki/security_update_20200601 safeMode配置: https://github.com/alibaba/fastjson/wiki/fastjson_safemode

9

看问题要全面,fastjson好用,常用,所以广泛研究,搞安全的人也喜欢用,自然也会研究漏洞,这是好事!为什么jsckjson没那么多安全漏洞,我觉得其中一个重要是因素是使用jackjson的研究安全的技术从业人员比较少也有关系。 不足地方是这个项目目前更新确实比较少,需要新一轮仔细审视代码。

3

看问题要全面,fastjson好用,常用,所以广泛研究,搞安全的人也喜欢用,自然也会研究漏洞,这是好事!为什么jsckjson没那么多安全漏洞,我觉得其中一个重要是因素是使用jackjson的研究安全的技术从业人员比较少也有关系。 不足地方是这个项目目前更新确实比较少,需要新一轮仔细审视代码。

都已经为作者的详细而温和的问答点赞了 求勿喷轻杠