1 开源组件通用性漏洞审计
1.1 fastjson漏洞审计与验证
1.1.1 相关知识
Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java对 象之间相互转换。
Fastjson反序列化漏洞简单来说是出现在将JSON数据反序列化过程中出现的漏洞。 攻击者可以传入一个恶意构造的JSON内容,程序对其进行反序列化后得到恶意类并执行了恶意类中的恶意函数,进而导致代码执行。
两个主要接口是JSON.toJSONString和JSON.parseObject/JSON.parse,分别实现序列化和 反序列化操作。
1.1.2 漏洞审计
1 通过查看pom文件,发现该系统引入fastjson-1.2.58,故猜测可能存在该漏洞
2 全局搜索,
全局检索JSON.toJSONString和JSON.parseObject/JSON.parse,寻找漏洞入口。
3 对漏洞爆发点进行参数污点追踪
发现151行污点参数来自于前端请求,所以从源码层次上确定了漏洞存在
1.1.3 漏洞复现
(1)启动项目后,寻找对应的功能点
寻找的方式大概有两个:(1)根据业务功能看请求的对应API (2)从白盒角度检索看哪个前端页面
调用了对应的API
添加产品后提交,获取的报文如下:
(2)将其修改为payload,如下
product_category_id=1&product_isEnabled=0&product_name=wasd&product_title=12&product_price=12&product_sale_price=34&propertyJson={"
