org.json 解析特性与参数走私漏洞分析<\/h1>

一、org.json 库概述<\/h2>
org.json 是 Java Web 生态中一个轻量级的 JSON 构造和解析工具包，提供简洁的 API 进行 JSON 序列化与反序列化操作。该库还支持 JSON 与 XML、HTTP headers、Cookies 等格式的相互转换。<\/p>

基本使用示例<\/h3>

JSONObject jsonobj =<\/span> new<\/span> JSONObject(<\/span>"{'name':'test','age':20}"<\/span>);<\/span>
<\/span><\/span>String name =<\/span> jsonobj.<\/span>getString<\/span>(<\/span>"name"<\/span>);<\/span>
<\/span><\/span><\/code><\/pre>二、org.json 解析过程深度分析<\/h2>
2.1 解析入口<\/h3>
通过 new JSONObject(String json)<\/code> 构造方法进行 JSON 字符串解析，首先调用 nextClean()<\/code> 方法获取下一个有效字符。<\/p>
2.2 初始检查<\/h3>

检查 JSON 字符串是否以左花括号 {<\/code> 开头<\/li>
不符合格式要求时抛出 JSONException<\/code> 异常<\/li>
<\/ul>
2.3 nextClean() 方法功能<\/h3>
从输入流中跳过所有空白字符（空格、制表符、换行符等），定位到第一个有效字符。<\/p>
2.4 主解析循环<\/h3>
通过 while 循环对 JSON 字符串逐个字符读取，根据不同情况进行处理：<\/p>

case '\u0000'<\/strong>：遇到 null 字符时抛出异常<\/li>
case '}'<\/strong>：遇到右花括号时结束解析<\/li>
default<\/strong>：处理键值对（核心解析逻辑）<\/li>
<\/ol>
2.5 键值对解析流程<\/h3>

使用 nextSimpleValue()<\/code> 方法解析键名<\/li>
检查下一个字符是否为冒号 :<\/code>，否则抛出异常<\/li>
检查键名重复性，发现重复键时抛出 syntaxError<\/code> 异常<\/li>
使用 nextValue()<\/code> 方法解析属性值<\/li>
将解析结果存储到当前 JSONObject 中<\/li>
<\/ol>
2.6 值解析机制<\/h3>
nextValue()<\/code> 方法处理以下情况：<\/p>

嵌套 JSON 对象<\/li>
Array 数组<\/li>
其他类型通过 nextSimpleValue()<\/code> 处理<\/li>
<\/ul>
2.7 nextSimpleValue 方法解析逻辑<\/h3>
分两种情况处理属性值：<\/p>
情况一：引号开头的内容<\/h4>

单\/双引号开头时调用 nextString()<\/code> 方法<\/li>
处理转义字符（\n、\t 等）和普通字符<\/li>
支持 Unicode 字符处理<\/li>
遇到匹配的结束引号时停止<\/li>
<\/ul>
情况二：非引号开头的内容<\/h4>

构造 StringBuilder<\/li>
循环读取字符直到遇到 JSON 结构分隔符或控制字符<\/li>
回退一个字符<\/li>
调用 stringToValue()<\/code> 方法清理字符串并转换为对应 JSON 值<\/li>
<\/ul>
2.8 stringToValue 方法处理规则<\/h3>
对获取的内容进行规整处理：<\/p>

检查字符串是否为空<\/li>
判断是否为布尔值 "true" 或 "false"<\/li>
判断是否为 "null"<\/li>
检查是否为数字（仅处理 0-9 和负号 -<\/code> 情况）<\/li>
根据检查结果返回对应类型的值<\/li>
<\/ul>
三、org.json 解析特性总结<\/h2>

宽松的解析策略<\/strong>：允许属性不使用双引号包裹，支持单引号<\/li>
重复键处理<\/strong>：不支持重复键，发现时会抛出异常<\/li>
类型转换特性<\/strong>：对数字型输入有特殊处理规则<\/li>
Unicode 支持<\/strong>：完整支持 Unicode 字符处理<\/li>
<\/ol>
四、参数走私漏洞案例分析<\/h2>
4.1 漏洞场景<\/h3>
Web 应用 User 实体包含 roleId 属性（String 类型），认证拦截器对请求 JSON Body 中的 roleId 字段进行拦截：<\/p>
JSONObject jsonObj =<\/span> new<\/span> JSONObject(<\/span>body);<\/span>
<\/span><\/span>if<\/span> (<\/span>jsonObj.<\/span>getString<\/span>(<\/span>"roleId"<\/span>).<\/span>equals<\/span>(<\/span>"1"<\/span>))<\/span> {<\/span>
<\/span><\/span>    \/\/ 鉴权逻辑，限制 roleId 更新操作
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>后端接口使用 Fastjson 进行参数解析，存在解析器差异。<\/p>
4.2 漏洞原理<\/h3>
Fastjson 解析特性<\/h4>

JSONScanner 会对以正号(+)、负号(-)或数字开头的字符串识别为数值<\/li>
示例：{"value":+1}<\/code> 解析后值为数字 1<\/li>
<\/ul>
org.json 解析特性<\/h4>

对非引号包裹的内容，只有 0-9 和负号(-)才会被识别为数字<\/li>
正号(+)开头的内容会被原样输出为字符串<\/li>
<\/ul>
4.3 漏洞利用<\/h3>
构造攻击载荷<\/h4>
String body =<\/span> "{\"roleId\":+1}"<\/span>;<\/span>
<\/span><\/span>JSONObject jsonobj =<\/span> new<\/span> JSONObject(<\/span>body);<\/span>
<\/span><\/span>System.<\/span>out<\/span>.<\/span>println<\/span>(<\/span>"org.json parse result:"<\/span> +<\/span> jsonobj.<\/span>getString<\/span>(<\/span>"roleId"<\/span>));<\/span>
<\/span><\/span>\/\/ 输出结果: "+1" (字符串)
<\/span><\/span><\/span><\/span>
<\/span><\/span>User userByFastjson =<\/span> com.<\/span>alibaba<\/span>.<\/span>fastjson<\/span>.<\/span>JSONObject<\/span>.<\/span>parseObject<\/span>(<\/span>body,<\/span> User.<\/span>class<\/span>);<\/span>
<\/span><\/span>System.<\/span>out<\/span>.<\/span>println<\/span>(<\/span>"fastjson parse result:"<\/span> +<\/span> userByFastjson.<\/span>getRoleId<\/span>());<\/span>
<\/span><\/span>\/\/ 输出结果: "1" (数字)
<\/span><\/span><\/span><\/code><\/pre>绕过效果<\/h4>

org.json 将 +1<\/code> 解析为字符串 "+1"<\/li>
Fastjson 将 +1<\/code> 解析为数字 1<\/li>
成功绕过鉴权检查<\/li>
<\/ul>
4.4 其他攻击向量<\/h3>
Unicode 空字符利用<\/h4>

json-c 对空字符会做截断处理<\/li>
org.json 库会保留 Unicode 空字符<\/li>
通过在属性中增加 Unicode 空字符，结合重复 key 手法实现绕过<\/li>
<\/ul>
分号解析差异<\/h4>

org.json 和 Gson 将分号 ;<\/code> 识别为键值以外的分隔符<\/li>
部分 JSON 解析组件会错误解析进入兜底逻辑<\/li>
可能由于解析差异导致参数走私风险<\/li>
<\/ul>
五、防护建议<\/h2>

统一解析库<\/strong>：前后端使用相同的 JSON 解析库<\/li>
严格输入验证<\/strong>：对输入数据进行严格类型和格式检查<\/li>
安全配置<\/strong>：配置解析库使用严格模式<\/li>
代码审计<\/strong>：重点关注多解析器共存场景<\/li>
边界防护<\/strong>：在网关层进行有效的数据过滤和验证<\/li>
<\/ol>
六、总结<\/h2>
org.json 库的宽松解析特性与其它 JSON 解析库的差异可能导致参数走私漏洞。特别是在多解析器共存的环境中，解析差异可能被利用来绕过安全检测。开发人员应充分了解所使用的 JSON 解析库的特性，避免因解析差异导致的安全问题。在安全审计过程中，需要特别关注解析器差异可能带来的参数走私风险。<\/p>
通过本文分析，我们深入了解了 org.json 的解析机制和可能存在的安全风险，为安全开发和代码审计提供了重要参考。<\/p>

org.json 解析特性与参数走私漏洞分析<\/h1>

一、org.json 库概述<\/h2> org.json 是 Java Web 生态中一个轻量级的 JSON 构造和解析工具包，提供简洁的 API 进行 JSON 序列化与反序列化操作。该库还支持 JSON 与 XML、HTTP headers、Cookies 等格式的相互转换。<\/p>

二、org.json 解析过程深度分析<\/h2>

2.1 解析入口<\/h3> 通过 new JSONObject(String json)<\/code> 构造方法进行 JSON 字符串解析，首先调用 nextClean()<\/code> 方法获取下一个有效字符。<\/p>

2.3 nextClean() 方法功能<\/h3> 从输入流中跳过所有空白字符（空格、制表符、换行符等），定位到第一个有效字符。<\/p>

2.7 nextSimpleValue 方法解析逻辑<\/h3> 分两种情况处理属性值：<\/p>

四、参数走私漏洞案例分析<\/h2>

4.2 漏洞原理<\/h3>

4.3 漏洞利用<\/h3>

4.4 其他攻击向量<\/h3>

一、org.json 库概述<\/h2>
org.json 是 Java Web 生态中一个轻量级的 JSON 构造和解析工具包，提供简洁的 API 进行 JSON 序列化与反序列化操作。该库还支持 JSON 与 XML、HTTP headers、Cookies 等格式的相互转换。<\/p>

2.1 解析入口<\/h3>
通过 `new JSONObject(String json)<\/code> 构造方法进行 JSON 字符串解析，首先调用 nextClean()<\/code> 方法获取下一个有效字符。<\/p>`

2.3 nextClean() 方法功能<\/h3>
从输入流中跳过所有空白字符（空格、制表符、换行符等），定位到第一个有效字符。<\/p>

2.7 nextSimpleValue 方法解析逻辑<\/h3>
分两种情况处理属性值：<\/p>