漏洞背景

Fastjson是阿里巴巴开发的一个高性能JSON解析库,它在Java开发中被广泛使用。而Fastjson在1.2.62及之前的版本中存在一个远程代码执行漏洞(CVE-2020-8840),攻击者可以通过构造恶意的JSON数据进行远程代码执行。这个漏洞对于使用了Fastjson的项目来说是非常危险的,因为攻击者可以通过这个漏洞完全控制受影响的服务器。

漏洞利用方法

攻击者可以通过构造特定的JSON数据来触发Fastjson解析器的反序列化漏洞。漏洞触发的条件是:被反序列化的Java类必须存在一个setter方法,通过这个setter方法可以完成远程代码执行。攻击者构造的JSON数据中,可以通过添加一些特殊的字段和数值来绕过Fastjson的反序列化过滤器,从而触发代码执行。具体来说,漏洞利用的过程包括以下几个步骤:

  1. 构造一个包含恶意代码的JSON数据。

  2. 通过HTTP POST请求将恶意JSON数据发送给目标服务器。

  3. 服务器接收到请求后,将JSON数据反序列化为Java对象。

  4. Fastjson在反序列化过程中调用了Java对象中的setter方法,触发远程代码执行。

漏洞修复方法

为了修复Fastjson的这个漏洞,可以采取以下措施:

  1. 升级Fastjson版本:建议将Fastjson升级到1.2.63及之后的版本,这些版本中修复了该漏洞。

  2. 开启AutoType白名单:Fastjson的AutoType机制是导致该漏洞的根本原因,为了增强安全性,可以通过配置文件或代码的方式,将AutoType白名单设置为仅允许可信任的类。这样,Fastjson在反序列化过程中只会创建指定的类实例,从而减少远程代码执行的风险。

  3. 禁用AutoType机制:如果项目中并不需要使用Fastjson的AutoType功能,可以选择完全禁用它。具体的方法是在Fastjson的配置文件中将"autotype_check"设置为false,这样Fastjson在反序列化过程中会忽略所有AutoType相关的逻辑。