这是一个创建于 273 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
jk1030 273 天前  7
bugjson
|
 |
2
sagaxu 273 天前 via Android
出于什么考量用这个库呢?
|
 |
3
raphael008 273 天前
jackson 不香吗?
|
 |
4
qwerthhusn 273 天前
感觉这个库从 N 多年前就各种各样安全漏洞。。。
但是 jackson 的话,不支持 JSONArray 和 JSONObject 抽象。 有时候不想对某些 json 再做模型定义,然后用 JsonNode 的 API 太麻烦,全程用 LinkedHashMap 和 ArrayList 写起来也不太好看。 |
 |
5
yty2012g 273 天前
已经因为 bugjson,升了 N 次版本了。。。
|
 |
6
AngryMagikarp 273 天前 1
没用过,不过很奇怪,一个 JSON 库什么会有安全漏洞...
|
 |
7
smartdone 273 天前
@AngryMagikarp 反序列化
|
 |
8
GM 273 天前 1
@qwerthhusn JsonNode 很好用,超级方便,你是没领悟到它正确用法。
|
 |
9
movistar 273 天前
Jackson 也一堆漏洞,经常有报 case....
别以为用 jackson 就安全啊..... |
 |
10
ZSeptember 273 天前
@raphael008 哈哈哈哈,jackson 多少安全漏洞,国内没有报导而已。
|
 |
11
micean 273 天前
没影响,一直是 jackson
|
 |
12
ixx 273 天前
@AngryMagikarp #6 因为 json 会用在参数解析上,可以构建特殊 json 远程执行代码....
|
 |
13
echo1937 273 天前
Spring 自带 Jackson,我又不喜欢额外引入过多依赖,一直就用 Jackson 了。
这样有漏洞修补起来也轻松,直接升级 Spring 就行。 |
|
14
qwerthhusn 273 天前
@GM 额,我理解错了,我一直以为 JsonNode 就是那种 Low-Level 的语法,要解析各种 Token,刚刚仔细看了一下,和 fastjson 的 JSONArray 和 JSONObject 是类似的。。。。。。不过这套 API 没有 getArrayNode()或者 getObjectNode(),必须要先 get()获取父类,只能强转(或者用 instanceof 或者 getNodeType()检查一下)
从今天开始,fastjson 对我来说,一点用都没了!!!我负责的项目下一个 milestone 中有一项就是 get rid of bugjson |
 |
15
Kamiyu0087 273 天前
所以 FastJSON 和 Jackson 都不能用?
那么 GSON 如何呢? |
 |
16
onikage 273 天前
上周五也被 bugjson 坑了, {"value":1,"id":2}, 在 bugjson 转一遍输出就变成{"id":2,"value":1}了, 信息没丢,但是在有签名的场景这完全是两个字符串. 不知道为什么这么多人迷信这玩意.
|
|
18
sagaxu 273 天前 via Android
@Kamiyu0087 gson 官方已经弃坑了
|
 |
20
iFlicker 273 天前 via Android
JSONObject 呢
|
 |
22
wobuhuicode 273 天前 1
@onikage 明显是你自己对于 json 理解有问题。还能反咬一口框架
|
 |
26
redtea 273 天前
那么到底该用哪个,更安全,性能更好?
|
 |
27
beidounanxizi 273 天前
fastjson 这个破 json 序列化和反序列化 遵守 json 规范么? 还有号称的性能 呵呵哒
用 jackson 不好么 |
 |
28
whoami9894 273 天前
|
|
30
beidounanxizi 273 天前
@onikage 这个是你自己个人没保证顺序的原因
|
 |
31
heiheidewo 273 天前
一个 json 解析还这么多 bug
|
 |
32
hantsy 273 天前
@qwerthhusn Jackson 同样支持底层的强大 Node 操作(类似 Object, Array 操作非常简单),也支持高级的 Mapping,而且还支持 XML Mapping 。 还支持其它一些不太常见的格式。在 marshall/unmarshall 操作上,几乎是功能最全面的,在 Spring 是默认方案。
现在的 JSON-P,JSON-B 标准受 Jackson,Gson,JAXB 等影响很大。 |
|
33
hantsy 273 天前
|
 |
34
Kyle18Tang 273 天前
Jackson 它不香么
|
 |
36
keshawnvan 273 天前
JSON 反序列化用哪个库漏洞都很多,都需要经常更新
|
 |
37
Vedar 273 天前
有点搞吧 验签排序确实是要做 但是你一个 json 库自作主张去排序就有毒了 这还能洗?
|
 |
38
Meltdown 273 天前 via Android
龟速的 json 有 bug 么
|
 |
39
sayuria 273 天前
@AngryMagikarp
比如一只猫,序列化之后是 binary 序列。binary 是没有可读性的,看起来就是一堆乱码。 这时候黑客把一只狗序列化成 binary 序列,替换掉猫的序列。 json 反序列化之后,就会去执行狗的反序列后的代码。 |
 |
41
mgzu 273 天前
问一下各位老哥,有 maven 或 eclipse 、idea 插件提示依赖安全漏洞的插件么
|
 |
43
wm5d8b 273 天前 via Android
gson 没有 bug 的话,开发基本停止好像也没问题?
|
 |
44
JasonLaw 273 天前 via iPhone
@sayuria 我还是有点不明白,就算替换了内容,那也是数据(对象的属性)改变了,代码执行的逻辑还是不变的。可以具体讲解一下“怎么造成安全漏洞”的吗?
|
 |
45
526326991 273 天前
一直用 gson 路过~~~
|
 |
46
cco 273 天前
不管谁 bug 多,谁 bug 少。Spring 已经自带了 jackson,那我就懒得引入第三个 json,目前的业务也都满足。小声说:顶多在价格 gson- -!
|
 |
47
binbinyouliiii 273 天前
老老实实用 springboot 默认的 jackson 不好吗,一个 json 工具又不需要中文文档
|
 |
51
tairan2006 273 天前
Jackson 啥功能都有啊…升级 spring 很方便。
|
 |
52
mars0prince 273 天前
毕竟没有漏洞就没有 kpi
|
 |
53
liuawei 273 天前
那些一直推荐 Jackson 这个玩意也有漏洞 反序列化的漏洞可以通过 bash 反弹控制服务器呀。
|
|
54
whoami9894 273 天前 2
@JasonLaw
JSON 映射到对象其实就是 build and assign,先实例化对象,然后对成员变量赋值,赋值时如果对象有 setXX 方法会调用,在 setXX 方法中可能有一些可以达到代码执行的操作 比如 JNDI injection 比如`com.sun.rowset.JdbcRowSetImpl`,调用它的`setAutoCommit`时会自动对成员变量`dataSourceName`进行一次 JNDI lookup,在低版本 JDK 中就可以直接加载远程字节码 |
 |
55
kennylam777 273 天前
@GM JsonNode + 1, 該有的 type safety 都有
|
 |
56
fanshuzaizai 273 天前 1
高级用法才有 bug,像我这种只用来 JSON.parseObject()和 JSON.toJSONString,从来没有 bug
|
|
57
JasonLaw 273 天前
@whoami9894 产生对象的 class 是自己写的,setXX 能做什么不是完全由自己决定的吗?实例化 class 的一个对象后,会根据序列化之后的内容对属性设置不同的值。如果 setXX 方法除了赋值之外还做了“其他的事情”,不管是什么方式的反序列化,都会做“其他的事情”的呀😅,不会取决于“序列化的内容是否被修改”。是我哪里没有理解吗?😯
|
 |
58
Seneca 273 天前
良心福报厂 养活一批安全从业者
|
 |
60
stormsuncc 273 天前
上边说 jackjson 也有问题的不知道啥心理。
下雨天没有伞房子还漏雨的人说你看隔壁也没伞出门(人家房子完好)。 |
|
62
onikage 273 天前
|
|
63
onikage 273 天前
@wobuhuicode
问题是中间过的第三方服务做的, 我们自己的 client 和 server 用 http 直连测过以后再连人家服务发现这个问题的. |
 |
64
wzw 273 天前 via iPhone
我用 msgpack……不知道怎么样
|
|
65
ZSeptember 273 天前
@stormsuncc 不知道你是什么心理。都说转 jackson,提出 jackson 也有漏洞,有什么问题?国外的框架有漏洞不让说?
|
 |
66
LostPrayers 273 天前
没有高级反序列化,就没有伤害
|
 |
67
zzNucker 273 天前
|
 |
68
Loyelee 273 天前 via iPhone
一直用的 gson
|
 |
69
qoras 273 天前
这玩意不报 bug 才不正常
|
 |
70
mxalbert1996 273 天前 via Android
|
 |
71
back0893 273 天前
有 bug 不是正常?
|
 |
72
youxiachai 273 天前 via iPad
有点迷,这算是没关注比有关注强吗。。。。
特别有几位大佬一个劲的批判也不知道为啥。。 |
 |
73
wanguorui123 273 天前 via iPhone
反序列化注入漏洞,年年都报
|
 |
74
ConradG 273 天前
@JasonLaw
因为“产生对象的 class 是自己写的”这句话在某些情况下是不对的。 除了常见的“标准”json 外,还存在“标记了反序列化目标类型“的非标准 json 。json 反序列化的大部分漏洞都是通过更改这类 json 的类型标记,实例化一些敏感类进行攻击。 |
 |
75
xuxanwan 272 天前
在哪里能看到 fastjson 所有历史缺陷,及 jackson 的所有历史缺陷,想坐下选型前的对比。
|
 |
76
lcj2class 272 天前 via iPhone
对性能有要求的,直接上 protobuf 吧
|
 |
77
metrxqin 272 天前
马上就 618 了,现在紧急更新等于找骂。
|
Select Language