浅谈黑盒识别Fastjson/Jackson组件

文章预览

Java生态中基本只有Jackson和Fastjson组件，但是两者相关的版本均存在相应的漏洞（反序列化、DDOS），所以对目标是否使用了对应的组件需要有相关的判断方法。方便信息收集进行进一步的测试。 Java生态中基本只有Jackson和Fastjson组件，但是两者相关的版本均存在相应的漏洞（反序列化、DDOS），那么如何有效识别目标使用了哪种对应的组件就很有必要了。 理想状态下 如果站点有原始报错回显，可以用不闭合花括号的方式进行报错回显 ，报错中往往中会有Fastjson/Jackson的关键字： Jackson： Fastjson： 但是实际上并不可能那么的理想，所以需要一些其他的trick来进行区分。下面探讨下两个解析器之间有什么区别。 0x01 Fastjson 中的Feature FastJson和Jackson在序列化和反序列化的过程中提供了很多特性（Feature），例如Fastjson的Feature.DisableFieldSmartMatch（1.2.30引入）。如 ………………………………