Java漏洞在白盒审计中的技巧——反序列化篇(Fastjson)
# Fastjson反序列化漏洞分析与防御指南
## 一、漏洞原理
Fastjson反序列化漏洞的核心问题在于:当反序列化过程中自动加载了恶意类(通过`@type`指定)时,可能触发任意代码执行。
### 关键点
1. **AutoType机制**:Fastjson通过`@type`标识类名,反序列化时会尝试实例化该类
2. **危险类利用**:攻击者通过指定包含危险方法的类(如`TemplatesImpl`),构造恶意JSON
3. **版本差异**:漏洞主要存在于1.2.24及之前版
2025-08-29 06:07:31
0