fastjson 又爆 bug 了!快来看看是否受影响

问一下各位老哥，有 maven 或 eclipse 、idea 插件提示依赖安全漏洞的插件么

@onikage 你自己的坑

gson 没有 bug 的话，开发基本停止好像也没问题？

@sayuria 我还是有点不明白，就算替换了内容，那也是数据（对象的属性）改变了，代码执行的逻辑还是不变的。可以具体讲解一下“怎么造成安全漏洞”的吗？

一直用 gson 路过~~~

不管谁 bug 多，谁 bug 少。Spring 已经自带了 jackson，那我就懒得引入第三个 json，目前的业务也都满足。小声说：顶多在价格 gson- -!

老老实实用 springboot 默认的 jackson 不好吗，一个 json 工具又不需要中文文档

fastjson
https://help.aliyun.com/noticelist/articleid/1060026793.html
https://help.aliyun.com/noticelist/articleid/1060052050.html
https://help.aliyun.com/noticelist/articleid/1060056174.html
https://help.aliyun.com/noticelist/articleid/1060243541.html
https://help.aliyun.com/noticelist/articleid/1060253179.html
https://help.aliyun.com/noticelist/articleid/1060343604.html
看了下近一年的公告，确实需要蛮频繁地升级……

jackson 不太熟悉，简单搜了下，感觉也不少，抛砖引玉
https://cert.360.cn/warning/detail?id=f3aa86acf2688e0e410dee9e6ab79bc1
https://cert.360.cn/warning/detail?id=1fe3b5ea888750006e0d64fb0df1e6ee
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=jackson

（补充一下，我对漏洞不太了解，这只是搜到的文章和数量，不代表我支持或 diss 任意一方。）

@yuzo555 Go：我怀疑你在说我，但是我没有证据。

@onikage 一般签名场景 都会对字段重新进行排序的吧

Jackson 啥功能都有啊…升级 spring 很方便。

毕竟没有漏洞就没有 kpi

那些一直推荐 Jackson 这个玩意也有漏洞 反序列化的漏洞可以通过 bash 反弹控制服务器呀。

@JasonLaw
JSON 映射到对象其实就是 build and assign，先实例化对象，然后对成员变量赋值，赋值时如果对象有 setXX 方法会调用，在 setXX 方法中可能有一些可以达到代码执行的操作 比如 JNDI injection
比如`com.sun.rowset.JdbcRowSetImpl`，调用它的`setAutoCommit`时会自动对成员变量`dataSourceName`进行一次 JNDI lookup，在低版本 JDK 中就可以直接加载远程字节码

@GM JsonNode + 1, 該有的 type safety 都有

高级用法才有 bug，像我这种只用来 JSON.parseObject()和 JSON.toJSONString，从来没有 bug

@whoami9894 产生对象的 class 是自己写的，setXX 能做什么不是完全由自己决定的吗？实例化 class 的一个对象后，会根据序列化之后的内容对属性设置不同的值。如果 setXX 方法除了赋值之外还做了“其他的事情”，不管是什么方式的反序列化，都会做“其他的事情”的呀😅，不会取决于“序列化的内容是否被修改”。是我哪里没有理解吗？😯

良心福报厂 养活一批安全从业者

@onikage 兄弟，你这是用法不对啊，哪有 JSON 不排序就做签名的

上边说 jackjson 也有问题的不知道啥心理。
下雨天没有伞房子还漏雨的人说你看隔壁也没伞出门（人家房子完好）。