【Web】关于FastJson反序列化开始前的那些前置知识

目录

FastJson介绍

FJ序列化与反序列化方法

关于反序列化三种方式的关系与区别

FastJson反序列化漏洞原理通识

关于getter&setter


FastJson介绍

FastJson(快速JSON)是一个Java语言编写的高性能、功能丰富且易于使用的JSON解析和序列化库。它由阿里巴巴集团开发,提供了一种快速、高效的方式来处理JSON数据。

FJ序列化与反序列化方法

序列化:JSON.toJSONString()
++参数设置++:SerializerFeature.WriteClassName 序列化时,会多出一个@type跟上类名

反序列化:JSON.parseObject()
++参数设置++:Feature.SupportNonPublicField 反序列化时,加上该参数才能还原private属性

关于反序列化三种方式的关系与区别

fastjson 处理反序列化的方式主要有三种

1、Object obj = JSON.parse(jsonstr);

2、Object obj = JSON.parseObject(jsonstr, UserFastJson.class);

3、Object obj = JSON.parseObject(jsonstr);

①JSON.parseObject(jsonstr) 和 JSON.parseObject(jsonstr,UserFastJson.class)输出的结果一致,都是执行了**++构建器以及setter方法++** 。JSON.parseObject(jsonstr) 处理方式,不仅仅执行了**++构建器++** ,还执行了所有的**++setter、getter方法++**。

②JSON.parse(jsonstr)与JSON.parseObject(jsonstr, UserFastJson.class)可以认为是完全一样的,最后得到的是**++具体类对象++** ,而parseObject(String text)是在二者的基础上又执行了一次JSON.toJSON(),其先遍历所有的setter方法,然后再遍历getter方法,最后得到的是**++JSONObject类对象++**

也就是说JSON.parseObject()本质上还是调用JSON.parse()进行反序列化的,区别是parseObject()会额外调用JSON.toJSON()来将Java对象转为JSONObject对象。

③fastjson支持使用@type指定反序列化的目标类

JSON.parse(jsonString) 和 JSON.parseObject(jsonString, Target.class),前者会在 jsonString 中解析字符串获取 @type 指定的类,后者则会直接使用参数中的class。

FastJson反序列化漏洞原理通识

若能找到一个类、在反序列化这个类对象时,fastjson调用其setter或getter方法,且setter或getter方法存在漏洞,可以执行恶意代码。

这也是FJ反序列化漏洞与基于readObject的其他反序列化漏洞的最大区别。

此外,fastjson 在反序列化时,如果 Field 类型为 byte[],将会调用com.alibaba.fastjson.parser.JSONScanner#bytesValue 进行 base64 解码,对应的,在序列化时也会进行 base64 编码。

关于getter&setter

fastjson 在为类属性寻找 getter&setter 方法时,调用函数 com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#smartMatch() 方法,会忽略 _|- 字符串

满足条件的setter方法:

函数名大于等于4,非静态函数,以set开头且第4个字母为大写,返回类型为void或当前类,参数个数为1个

满足条件的getter方法:

函数名长度大于等于4,非静态方法,以get开头且第4个字母为大写,无参数,返回值类型继承自Collection或Map或AtomicBoolean或AtomicInteger

相关推荐
考虑考虑15 小时前
Jpa使用union all
java·spring boot·后端
用户37215742613515 小时前
Java 实现 Excel 与 TXT 文本高效互转
java
浮游本尊16 小时前
Java学习第22天 - 云原生与容器化
java
渣哥18 小时前
原来 Java 里线程安全集合有这么多种
java
间彧18 小时前
Spring Boot集成Spring Security完整指南
java
间彧18 小时前
Spring Secutiy基本原理及工作流程
java
Java水解19 小时前
JAVA经典面试题附答案(持续更新版)
java·后端·面试
洛小豆1 天前
在Java中,Integer.parseInt和Integer.valueOf有什么区别
java·后端·面试
前端小张同学1 天前
服务器上如何搭建jenkins 服务CI/CD😎😎
java·后端
ytadpole1 天前
Spring Cloud Gateway:一次不规范 URL 引发的路由转发404问题排查
java·后端