9
首先我认为,fastjson的安全模式应该改为默认开启,而关闭安全模式则必须进行独立配置 尤其是不能允许在源代码中允许关闭安全模式,这只会增加安全工程师代码审计的工作量
现在在工作中,发现大量开源的系统并不正确的使用fastjson,导致上游的开源框架有漏洞,下游的二开或定制版漏洞一大片 这样的话fastjson反而变成安全问题的制造者了。
建议作者考虑一下Secure By Default
Q
[alibaba/fastjson]fastjson的安全模式设计提议
A
回答
4
默认安全不错顶一个,但是会牺牲什么呢?愿闻其详
3
默认安全不错顶一个,但是会牺牲什么呢?愿闻其详
牺牲通过http协议传输的反序列化操作
1
默认安全不错顶一个,但是会牺牲什么呢?愿闻其详
牺牲通过http协议传输的反序列化操作
其实不然 只是autotype的功能 autotype只是在携带了@type的时候会自动反序列化成对应类型 而在我们研发中 我们一般已经知道具体类型的是没有影响的。 比如java的序列化 你只要反序列化一个stream 自动获得了对象 而json一般只能变成map或者jsonObject等等 要想知道具体类型 一般使用parse(str,XXX.class)这样 但是当开启了autotype的时候 如果json携带了@autotype的话很方便获得类型 这样就容易被有心人利用!!!! 建议是将fastjson拆包 autotype单独有需要引入 jar 否则代码在里面 万一什么漏洞导致开关被打开了还是会出问题的
1
arms已经已经换了jar
0
这个jar包是官方的吗,我怎么没找到呢?