浅谈黑盒识别Fastjson/Jackson组件

原文由作者授权，首发在奇安信攻防社区https://forum.butian.net/share/1679Java生态中基本只有Jackson和Fastjson组件，但是两者相关的版本均存在相应的漏洞（反序列化、DDOS），所以对目标是否使用了对应的组件需要有相关的判断方法。方便信息收集进行进一步的测试。Java生态中基本只有Jackson和Fastjson组件，但是两者相关的版本均存在相应的漏洞（反序列化、DDOS），那么如何有效识别目标使用了哪种对应的组件就很有必要了。理想状态下如果站点有原始报错回显，可以用不闭合花括号的方式进行报错回显，报错中往往中会有Fastjson/Jackson的关键字：Jackson：Fastjson：但是实际上并不可能那么的理想，所以需要一些其他的trick来进行区分。下面探讨下两个解析器之间有什么区别。0x01 Fastjson&Jackson中的FeatureFastJson和Jackson在序列化和反序列化的过程中提供了很多特性 ………………………………