Fastjson反序列化漏洞分析（一）<\/h1>

一、Fastjson基本概念<\/h2>
Fastjson是一个Java语言的JSON解析库，主要功能是将JSON字符串解析为Java对象。其基本使用方式如下：<\/p>
String s =<\/span> "{\"param1\":\"aaa\",\"param2\":\"bbb\"}"<\/span>;<\/span>
<\/span><\/span>\/\/ 解析JSON
<\/span><\/span><\/span><\/span>JSONObject jsonObject =<\/span> JSON.<\/span>parseObject<\/span>(<\/span>s);<\/span>
<\/span><\/span>\/\/ 原生打印
<\/span><\/span><\/span><\/span>System.<\/span>out<\/span>.<\/span>println<\/span>(<\/span>jsonObject);<\/span>
<\/span><\/span>\/\/ 获取指定的键值
<\/span><\/span><\/span><\/span>System.<\/span>out<\/span>.<\/span>println<\/span>(<\/span>jsonObject.<\/span>getString<\/span>(<\/span>"param1"<\/span>));<\/span>
<\/span><\/span><\/code><\/pre>Fastjson支持将JSON字符串解析为JavaBean对象：<\/p>
String s =<\/span> "{\"age\":\"18\",\"name\":\"yexing\"}"<\/span>;<\/span>
<\/span><\/span>Person person =<\/span> JSON.<\/span>parseObject<\/span>(<\/span>s,<\/span> Person.<\/span>class<\/span>);<\/span>
<\/span><\/span>System.<\/span>out<\/span>.<\/span>println<\/span>(<\/span>person.<\/span>getName<\/span>());<\/span>
<\/span><\/span><\/code><\/pre>二、Fastjson的关键特性<\/h2>
Fastjson有一个特殊特性：可以通过@type<\/code>字段指定要反序列化的类：<\/p>
String s =<\/span> "{\"@type\":\"org.example.Person\", \"age\":\"18\", \"name\":\"yexing\"}"<\/span>;<\/span>
<\/span><\/span>JSONObject jsonObject =<\/span> JSON.<\/span>parseObject<\/span>(<\/span>s);<\/span>
<\/span><\/span>System.<\/span>out<\/span>.<\/span>println<\/span>(<\/span>jsonObject);<\/span>
<\/span><\/span><\/code><\/pre>这个特性允许客户端控制反序列化的类，从而可能导致安全问题。<\/p>
三、Fastjson反序列化流程分析<\/h2>
1. 整体流程<\/h3>
JSON.parseObject()<\/code>主要做两件事：<\/p>

parse()<\/code> - 序列化操作，将字符串解析为对象（调用setter）<\/li>
JSON.toJSON()<\/code> - 将对象转为字符串（调用getter）<\/li>
<\/ol>
2. 解析流程细节<\/h3>


初始解析<\/strong>：<\/p>

调用DefaultJSONParser()<\/code>创建默认JSON解析器<\/li>
根据JSON字符串的字符进行解析（通过switch控制）<\/li>
<\/ul>
<\/li>

处理@type字段<\/strong>：<\/p>

当解析到@type<\/code>字段时，表示需要进行Java反序列化<\/li>
调用loadClass()<\/code>加载指定类：

先尝试从mappings缓存中加载<\/li>
未找到则使用APPClassLoader加载<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

获取反序列化器<\/strong>：<\/p>

首先从缓存中查找反序列化器<\/li>
不在内置类型中则通过getDeserializer()<\/code>获取<\/li>
检查类名是否在黑名单中（1.2.24以前的黑名单主要基于性能考虑）<\/li>
最终通过createJavaBeanDeserializer()<\/code>创建JavaBean反序列化器<\/li>
<\/ul>
<\/li>

JavaBean信息构建<\/strong>：<\/p>

调用JavaBeanInfo.build()<\/code>：

第一个循环：遍历获取setter方法<\/li>
第二个循环：遍历public字段<\/li>
第三个循环：遍历getter方法<\/li>
<\/ul>
<\/li>
返回包含所有信息的JavaBeanInfo对象<\/li>
<\/ul>
<\/li>

实例创建与属性设置<\/strong>：<\/p>

通过反射调用构造函数创建实例<\/li>
调用parseField()<\/code>和setValue()<\/code>设置属性值（调用setter）<\/li>
<\/ul>
<\/li>

toJSON处理<\/strong>：<\/p>

调用toJSON()<\/code>将对象转为字符串<\/li>
通过getFieldValuesMap()<\/code>获取字段值<\/li>
调用getter.getPropertyValue()<\/code>获取属性值（调用getter）<\/li>
<\/ul>
<\/li>
<\/ol>
四、关键安全点分析<\/h2>


@type字段控制<\/strong>：<\/p>

允许客户端指定任意类进行反序列化<\/li>
这是Fastjson反序列化漏洞的根本原因<\/li>
<\/ul>
<\/li>

方法调用<\/strong>：<\/p>

自动调用setter和getter方法<\/li>
可能触发危险操作<\/li>
<\/ul>
<\/li>

黑名单机制<\/strong>：<\/p>

1.2.24版本前的黑名单不完善<\/li>
主要基于性能考虑而非安全考虑<\/li>
<\/ul>
<\/li>

动态类加载<\/strong>：<\/p>

通过asmEnable<\/code>开关控制动态类创建<\/li>
可能被利用来加载恶意类<\/li>
<\/ul>
<\/li>
<\/ol>
五、漏洞利用条件<\/h2>

存在只有getter没有setter且返回特定类型（Map\/Collection等）的方法<\/li>
当满足这个条件时：

getOnly<\/code>标志会被设为true<\/li>
asmEnable<\/code>会被设为false<\/li>
使用可调试的反序列化器<\/li>
<\/ul>
<\/li>
<\/ol>
六、防御建议<\/h2>

升级到最新版本Fastjson<\/li>
严格限制反序列化的类（使用白名单）<\/li>
禁用@type<\/code>特性（通过ParserConfig.getGlobalInstance().setAutoTypeSupport(false);<\/code>）<\/li>
避免在getter\/setter中执行危险操作<\/li>
<\/ol>
七、总结<\/h2>
Fastjson的反序列化漏洞主要源于其灵活的@type<\/code>特性和自动调用getter\/setter的设计。理解其内部解析流程对于分析和防御相关漏洞至关重要。开发者应当谨慎使用Fastjson的反序列化功能，特别是在处理不可信的JSON输入时。<\/p>