【Web】关于FastJson反序列化开始前的那些前置知识

目录

FastJson介绍

FJ序列化与反序列化方法

关于反序列化三种方式的关系与区别

FastJson反序列化漏洞原理通识

关于getter&setter


FastJson介绍

FastJson(快速JSON)是一个Java语言编写的高性能、功能丰富且易于使用的JSON解析和序列化库。它由阿里巴巴集团开发,提供了一种快速、高效的方式来处理JSON数据。

FJ序列化与反序列化方法

序列化:JSON.toJSONString()
++参数设置++:SerializerFeature.WriteClassName 序列化时,会多出一个@type跟上类名

反序列化:JSON.parseObject()
++参数设置++:Feature.SupportNonPublicField 反序列化时,加上该参数才能还原private属性

关于反序列化三种方式的关系与区别

fastjson 处理反序列化的方式主要有三种

1、Object obj = JSON.parse(jsonstr);

2、Object obj = JSON.parseObject(jsonstr, UserFastJson.class);

3、Object obj = JSON.parseObject(jsonstr);

①JSON.parseObject(jsonstr) 和 JSON.parseObject(jsonstr,UserFastJson.class)输出的结果一致,都是执行了**++构建器以及setter方法++** 。JSON.parseObject(jsonstr) 处理方式,不仅仅执行了**++构建器++** ,还执行了所有的**++setter、getter方法++**。

②JSON.parse(jsonstr)与JSON.parseObject(jsonstr, UserFastJson.class)可以认为是完全一样的,最后得到的是**++具体类对象++** ,而parseObject(String text)是在二者的基础上又执行了一次JSON.toJSON(),其先遍历所有的setter方法,然后再遍历getter方法,最后得到的是**++JSONObject类对象++**

也就是说JSON.parseObject()本质上还是调用JSON.parse()进行反序列化的,区别是parseObject()会额外调用JSON.toJSON()来将Java对象转为JSONObject对象。

③fastjson支持使用@type指定反序列化的目标类

JSON.parse(jsonString) 和 JSON.parseObject(jsonString, Target.class),前者会在 jsonString 中解析字符串获取 @type 指定的类,后者则会直接使用参数中的class。

FastJson反序列化漏洞原理通识

若能找到一个类、在反序列化这个类对象时,fastjson调用其setter或getter方法,且setter或getter方法存在漏洞,可以执行恶意代码。

这也是FJ反序列化漏洞与基于readObject的其他反序列化漏洞的最大区别。

此外,fastjson 在反序列化时,如果 Field 类型为 byte[],将会调用com.alibaba.fastjson.parser.JSONScanner#bytesValue 进行 base64 解码,对应的,在序列化时也会进行 base64 编码。

关于getter&setter

fastjson 在为类属性寻找 getter&setter 方法时,调用函数 com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#smartMatch() 方法,会忽略 _|- 字符串

满足条件的setter方法:

函数名大于等于4,非静态函数,以set开头且第4个字母为大写,返回类型为void或当前类,参数个数为1个

满足条件的getter方法:

函数名长度大于等于4,非静态方法,以get开头且第4个字母为大写,无参数,返回值类型继承自Collection或Map或AtomicBoolean或AtomicInteger

相关推荐
hqxstudying12 分钟前
java依赖注入方法
java·spring·log4j·ioc·依赖
·云扬·20 分钟前
【Java源码阅读系列37】深度解读Java BufferedReader 源码
java·开发语言
Bug退退退1231 小时前
RabbitMQ 高级特性之重试机制
java·分布式·spring·rabbitmq
小皮侠1 小时前
nginx的使用
java·运维·服务器·前端·git·nginx·github
Zz_waiting.2 小时前
Javaweb - 10.4 ServletConfig 和 ServletContext
java·开发语言·前端·servlet·servletconfig·servletcontext·域对象
全栈凯哥2 小时前
02.SpringBoot常用Utils工具类详解
java·spring boot·后端
兮动人2 小时前
获取终端外网IP地址
java·网络·网络协议·tcp/ip·获取终端外网ip地址
呆呆的小鳄鱼2 小时前
cin,cin.get()等异同点[面试题系列]
java·算法·面试
独立开阀者_FwtCoder2 小时前
"页面白屏了?别慌!前端工程师必备的排查技巧和面试攻略"
java·前端·javascript
Touper.2 小时前
JavaSE -- 泛型详细介绍
java·开发语言·算法