fastjson小于1.2.25版本反序列漏洞分析(CVE

作者:小高锄禾
围观群众:125
更新于
fastjson小于1.2.25版本反序列漏洞分析(CVE

fastjson小于1.2.25版本反序列漏洞分析(CVE

(1)影响范围

Fastjson<1.2.25

fastjson小于1.2.25版本反序列漏洞分析(CVE

(2)漏洞成因

@type属性:Fastjson支持在json数据中使用@type属性,该json数据会被反序列化成指定的对象类型,在反序列化过程中fastjson会调用parse(jsonStr)函数尝试对对象的属性进行赋值,若对象的javabean存在属性的setter方法则调用set方法,反之调用get方法。

import java.util.Map;

public class User {
    private String name;
    private Map map;
    p	

非特殊说明,本文版权归 成益经验网 所有,转载请注明出处.

本文分类: 娱乐

本文标题: fastjson小于1.2.25版本反序列漏洞分析(CVE

本文网址: http://chengyi0769.com/yule/419.html

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。