1
为什么一个序列化库三天两头的就爆远程执行漏洞?安静做一个工具库不好吗/?
为什么一个序列化库三天两头的就爆远程执行漏洞?安静做一个工具库不好吗/?
改名unsafejson
很抱歉给你带来麻烦了。fastjson从2016年以来,多次发现了漏洞,其中一个原因是被针对性广泛研究。漏洞的原因,主要是autoType功能,考虑兼容的原因,修复的方案不彻底。
在1.2.69以及兼容升级版本sec10中,提供了safeMode完全关闭autoType功能,通过配置safeMode=true,可以彻底解决此问题再次出现。
升级方案: https://github.com/alibaba/fastjson/wiki/security_update_20200601 safeMode配置: https://github.com/alibaba/fastjson/wiki/fastjson_safemode
看问题要全面,fastjson好用,常用,所以广泛研究,搞安全的人也喜欢用,自然也会研究漏洞,这是好事!为什么jsckjson没那么多安全漏洞,我觉得其中一个重要是因素是使用jackjson的研究安全的技术从业人员比较少也有关系。 不足地方是这个项目目前更新确实比较少,需要新一轮仔细审视代码。
看问题要全面,fastjson好用,常用,所以广泛研究,搞安全的人也喜欢用,自然也会研究漏洞,这是好事!为什么jsckjson没那么多安全漏洞,我觉得其中一个重要是因素是使用jackjson的研究安全的技术从业人员比较少也有关系。 不足地方是这个项目目前更新确实比较少,需要新一轮仔细审视代码。
都已经为作者的详细而温和的问答点赞了 求勿喷轻杠