fastjson会被频繁爆出漏洞的原因是什么-创新互联

创新互联www.cdcxhl.cn八线动态BGP香港云服务器提供商，新人活动买多久送多久，划算不套路！

10年积累的成都做网站、成都网站建设经验，可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你，你也不认识我。但先网站制作后付款的网站建设流程，更有诸城免费网站建设让你可以放心的选择与我们合作。

这篇文章主要介绍fastjson会被频繁爆出漏洞的原因是什么，文中介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们一定要看完！

GitHub 15.8k Star 的Java工程师成神之路，不来了解一下吗！

GitHub 15.8k Star 的Java工程师成神之路，真的不来了解一下吗！

GitHub 15.8k Star 的Java工程师成神之路，真的真的不来了解一下吗！

fastjson大家一定都不陌生，这是阿里巴巴的开源一个JSON解析库，通常被用于将Java Bean和JSON 字符串之间进行转换。

前段时间，fastjson被爆出过多次存在漏洞，很多文章报道了这件事儿，并且给出了升级建议。

但是作为一个开发者，我更关注的是他为什么会频繁被爆漏洞？于是我带着疑惑，去看了下fastjson的releaseNote以及部分源代码。

最终发现，这其实和fastjson中的一个AutoType特性有关。

从2019年7月份发布的v1.2.59一直到2020年6月份发布的 v1.2.71 ，每个版本的升级中都有关于AutoType的升级。

下面是fastjson的官方releaseNotes 中，几次关于AutoType的重要升级：

1.2.59发布，增强AutoType打开时的安全性 fastjson

1.2.60发布，增加了AutoType黑名单，修复拒绝服务安全问题 fastjson

1.2.61发布，增加AutoType安全黑名单 fastjson

1.2.62发布，增加AutoType黑名单、增强日期反序列化和JSONPath fastjson

1.2.66发布，Bug修复安全加固，并且做安全加固，补充了AutoType黑名单 fastjson

1.2.67发布，Bug修复安全加固，补充了AutoType黑名单 fastjson

1.2.68发布，支持GEOJSON，补充了AutoType黑名单。（引入一个safeMode的配置，配置safeMode后，无论白名单和黑名单，都不支持autoType。） fastjson

1.2.69发布，修复新发现高危AutoType开关绕过安全漏洞，补充了AutoType黑名单 fastjson

1.2.70发布，提升兼容性，补充了AutoType黑名单

甚至在fastjson的开源库中，有一个Issue是建议作者提供不带autoType的版本：

那么，什么是AutoType？为什么fastjson要引入AutoType？为什么AutoType会导致安全漏洞呢？本文就来深入分析一下。

AutoType 何方神圣？

fastjson的主要功能就是将Java Bean序列化成JSON字符串，这样得到字符串之后就可以通过数据库等方式进行持久化了。

但是，fastjson在序列化以及反序列化的过程中并没有使用Java自带的序列化机制，而是自定义了一套机制。

其实，对于JSON框架来说，想要把一个Java对象转换成字符串，可以有两种选择：

• 1、基于属性
• 2、基于setter/getter

而我们所常用的JSON序列化框架中，FastJson和jackson在把对象序列化成json字符串的时候，是通过遍历出该类中的所有getter方法进行的。Gson并不是这么做的，他是通过反射遍历该类中的所有属性，并把其值序列化成json。

假设我们有以下一个Java类：

class Store {
 private String name;
 private Fruit fruit;
 public String getName() {
  return name;
 }
 public void setName(String name) {
  this.name = name;
 }
 public Fruit getFruit() {
  return fruit;
 }
 public void setFruit(Fruit fruit) {
  this.fruit = fruit;
 }
}

interface Fruit {
}

class Apple implements Fruit {
 private BigDecimal price;
 //省略 setter/getter、toString等
}

文章题目：fastjson会被频繁爆出漏洞的原因是什么-创新互联
标题路径：https://www.cdcxhl.com/article22/ecgcc.html

成都网站建设公司_创新互联，为您提供移动网站建设、手机网站建设、网站内链、网站维护、做网站、网站营销

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联