fastjson 反序列化RCE漏洞复现
# Fastjson 反序列化RCE漏洞复现与分析
## 漏洞概述
Fastjson是阿里巴巴开源的一个Java库,用于处理JSON数据格式的解析和生成。在Fastjson 1.2.24及之前版本中存在反序列化远程代码执行(RCE)漏洞,攻击者可以通过构造特殊的JSON数据,利用JNDI注入实现远程命令执行。
## 漏洞原理
1. **Fastjson反序列化机制**:
- Fastjson在解析JSON对象时,会使用autoType实例化具体的类
- 通过`@type`字段
2025-08-28 16:05:45
0