【Web】关于FastJson反序列化开始前的那些前置知识

目录

FastJson介绍

FJ序列化与反序列化方法

关于反序列化三种方式的关系与区别

FastJson反序列化漏洞原理通识

关于getter&setter


FastJson介绍

FastJson(快速JSON)是一个Java语言编写的高性能、功能丰富且易于使用的JSON解析和序列化库。它由阿里巴巴集团开发,提供了一种快速、高效的方式来处理JSON数据。

FJ序列化与反序列化方法

序列化:JSON.toJSONString()
++参数设置++:SerializerFeature.WriteClassName 序列化时,会多出一个@type跟上类名

反序列化:JSON.parseObject()
++参数设置++:Feature.SupportNonPublicField 反序列化时,加上该参数才能还原private属性

关于反序列化三种方式的关系与区别

fastjson 处理反序列化的方式主要有三种

1、Object obj = JSON.parse(jsonstr);

2、Object obj = JSON.parseObject(jsonstr, UserFastJson.class);

3、Object obj = JSON.parseObject(jsonstr);

①JSON.parseObject(jsonstr) 和 JSON.parseObject(jsonstr,UserFastJson.class)输出的结果一致,都是执行了**++构建器以及setter方法++** 。JSON.parseObject(jsonstr) 处理方式,不仅仅执行了**++构建器++** ,还执行了所有的**++setter、getter方法++**。

②JSON.parse(jsonstr)与JSON.parseObject(jsonstr, UserFastJson.class)可以认为是完全一样的,最后得到的是**++具体类对象++** ,而parseObject(String text)是在二者的基础上又执行了一次JSON.toJSON(),其先遍历所有的setter方法,然后再遍历getter方法,最后得到的是**++JSONObject类对象++**

也就是说JSON.parseObject()本质上还是调用JSON.parse()进行反序列化的,区别是parseObject()会额外调用JSON.toJSON()来将Java对象转为JSONObject对象。

③fastjson支持使用@type指定反序列化的目标类

JSON.parse(jsonString) 和 JSON.parseObject(jsonString, Target.class),前者会在 jsonString 中解析字符串获取 @type 指定的类,后者则会直接使用参数中的class。

FastJson反序列化漏洞原理通识

若能找到一个类、在反序列化这个类对象时,fastjson调用其setter或getter方法,且setter或getter方法存在漏洞,可以执行恶意代码。

这也是FJ反序列化漏洞与基于readObject的其他反序列化漏洞的最大区别。

此外,fastjson 在反序列化时,如果 Field 类型为 byte[],将会调用com.alibaba.fastjson.parser.JSONScanner#bytesValue 进行 base64 解码,对应的,在序列化时也会进行 base64 编码。

关于getter&setter

fastjson 在为类属性寻找 getter&setter 方法时,调用函数 com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#smartMatch() 方法,会忽略 _|- 字符串

满足条件的setter方法:

函数名大于等于4,非静态函数,以set开头且第4个字母为大写,返回类型为void或当前类,参数个数为1个

满足条件的getter方法:

函数名长度大于等于4,非静态方法,以get开头且第4个字母为大写,无参数,返回值类型继承自Collection或Map或AtomicBoolean或AtomicInteger

相关推荐
Edingbrugh.南空18 分钟前
Flink ClickHouse 连接器数据读取源码深度解析
java·clickhouse·flink
NE_STOP30 分钟前
SpringBoot--简单入门
java·spring
hqxstudying1 小时前
Java创建型模式---原型模式
java·开发语言·设计模式·代码规范
Dcs1 小时前
VSCode等多款主流 IDE 爆出安全漏洞!插件“伪装认证”可执行恶意命令!
java
保持学习ing1 小时前
day1--项目搭建and内容管理模块
java·数据库·后端·docker·虚拟机
京东云开发者2 小时前
Java的SPI机制详解
java
超级小忍2 小时前
服务端向客户端主动推送数据的几种方法(Spring Boot 环境)
java·spring boot·后端
程序无bug2 小时前
Spring IoC注解式开发无敌详细(细节丰富)
java·后端
小莫分享2 小时前
Java Lombok 入门
java
程序无bug2 小时前
Spring 对于事务上的应用的详细说明
java·后端