浅谈黑盒识别Fastjson/Jackson组件

主要观点总结

本文主要介绍了通过文章中的描述区分Jackson和Fastjson两种Java的JSON解析库的方法，以及一些相关特性和区别。

关键观点总结

关键观点1: 默认Feature配置的区别

关键观点2: 黑盒区分技巧

关键观点3: 关于Jackson的属性对齐特性

关键观点4: 其他解析库的干扰

文章预览

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“ 亿人 安全 “ 设为星标 ”， 否则可能就看不到了啦 原文由作者授权，首发在奇安信攻防社区 https://forum.butian.net/share/1679 Java生态中基本只有Jackson和Fastjson组件，但是两者相关的版本均存在相应的漏洞（反序列化、DDOS），所以对目标是否使用了对应的组件需要有相关的判断方法。方便信息收集进行进一步的测试。 Java生态中基本只有Jackson和Fastjson组件，但是两者相关的版本均存在相应的漏洞（反序列化、DDOS），那么如何有效识别目标使用了哪种对应的组件就很有必要了。 理想状态下 如果站点有原始报错回显，可以用不闭合花括号的方式进行报错回显 ，报错中往往中会有Fastjson/Jackson的关键字： Jackson： Fastjson： 但是实际上并不可能那么的理想，所以需要一些其他的trick来进行区分 ………………………………