[alibaba/fastjson]fastjson的安全模式设计提议

2024-05-22 535 views
4

首先我认为,fastjson的安全模式应该改为默认开启,而关闭安全模式则必须进行独立配置 尤其是不能允许在源代码中允许关闭安全模式,这只会增加安全工程师代码审计的工作量

现在在工作中,发现大量开源的系统并不正确的使用fastjson,导致上游的开源框架有漏洞,下游的二开或定制版漏洞一大片 这样的话fastjson反而变成安全问题的制造者了。

建议作者考虑一下Secure By Default

回答

3

默认安全不错顶一个,但是会牺牲什么呢?愿闻其详

4

默认安全不错顶一个,但是会牺牲什么呢?愿闻其详

牺牲通过http协议传输的反序列化操作

0

默认安全不错顶一个,但是会牺牲什么呢?愿闻其详

牺牲通过http协议传输的反序列化操作

其实不然 只是autotype的功能 autotype只是在携带了@type的时候会自动反序列化成对应类型 而在我们研发中 我们一般已经知道具体类型的是没有影响的。 比如java的序列化 你只要反序列化一个stream 自动获得了对象 而json一般只能变成map或者jsonObject等等 要想知道具体类型 一般使用parse(str,XXX.class)这样 但是当开启了autotype的时候 如果json携带了@autotype的话很方便获得类型 这样就容易被有心人利用!!!! 建议是将fastjson拆包 autotype单独有需要引入 jar 否则代码在里面 万一什么漏洞导致开关被打开了还是会出问题的

2

image arms已经已经换了jar

4

image arms已经已经换了jar

这个jar包是官方的吗,我怎么没找到呢?