反序列化漏洞和fastjson实际漏洞分析

文章预览

简介 FastJson是alibaba的一款开源JSON解析库，可用于将Java对象转换为其JSON表示形式，也可以用于将JSON字符串转换为等效的Java对象分别通过 toJSONString 和 parseObject/parse 来实现序列化和反序列化。 使用 对于序列化的方法 toJSONString() 有多个重载形式。 SerializeFeature : 通过设置多个特性到 FastjsonConfig 中全局使用, 也可以在使用具体方法中指定特性 SerializeFilter : 一个接口, 通过配置它的子接口或者实现类就可以以扩展编程的方式实现定制序列化 SerializeConfig : 添加特点类型自定义的序列化配置 对于反序列化的方法 parseObject() 也同样有多个重载形式。 序列化操作 可以发现这两个的区别，如果使用了toJSONString()的属性值 SerializerFeature.WriteClassName ，就会在序列化的时候多写入一个 @type 后面跟着的是反序列化的类名。 反序列化操作 package pers.fastjson; import com.alibaba.f ………………………………