FastJson checkAutoType安全机制研究<\/h1>

1. 概述<\/h2>
FastJson在1.2.25及之后的版本中引入了checkAutoType安全机制，旨在防止autoType机制带来的安全隐患。本文详细分析checkAutoType的工作原理、触发条件以及可能的绕过方式。<\/p>

2. checkAutoType机制基础<\/h2>

2.1 基本概念<\/h3>

autoType<\/strong>：FastJson的反序列化机制，通过@type字段指定要反序列化的类<\/li>

checkAutoType<\/strong>：安全检测机制，用于验证@type指定的类是否安全<\/li> <\/ul>
2.2 触发条件<\/h3>
checkAutoType机制并非在所有情况下都会被触发，以下情况不会<\/strong>触发：<\/p>

JSON字符串中未使用@type字段<\/p>
String jsonstr =<\/span> "{\"s1\":\"1\"}"<\/span>;<\/span> <\/span><\/span><\/code><\/pre><\/li> Class<T> clazz<\/code>参数与@type指定的类相同<\/p> \/\/ 不会触发checkAutoType <\/span><\/span><\/span><\/span>JSON.<\/span>parseObject<\/span>(<\/span>"{\"@type\":\"AutoTypeTest.Test1\"}"<\/span>,<\/span> AutoTypeTest.<\/span>Test1<\/span>.<\/span>class<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3. checkAutoType工作机制<\/h2> 3.1 影响因素<\/h3> checkAutoType的行为受以下两个主要因素影响：<\/p> autoTypeSupport<\/code>开关值（True\/False）<\/li> 使用parseObject(String text)<\/code>或parseObject(String text, Class<T> clazz)<\/code>方法<\/li> <\/ol> 组合情况如下表：<\/p> autoTypeSupport值<\/th> 方法签名<\/th> 情况编号<\/th> <\/tr> <\/thead> False<\/td> parseObject(String text)<\/td> 情况一<\/td> <\/tr> False<\/td> parseObject(String text, Class clazz)<\/td> 情况二<\/td> <\/tr> True<\/td> parseObject(String text)<\/td> 情况三<\/td> <\/tr> True<\/td> parseObject(String text, Class clazz)<\/td> 情况四<\/td> <\/tr> <\/tbody> <\/table> 3.2 详细分析<\/h3> 情况一：autoTypeSupport=False，使用parseObject(String text)<\/h4> 程序首先检查黑名单（denyList）<\/p> 黑名单内容： bsh,com.mchange,com.sun.,java.lang.Thread,java.net.Socket,java.rmi,javax.xml,org.apache.bcel,org.apache.commons.beanutils,org.apache.commons.collections.Transformer,org.apache.commons.collections.functors,org.apache.commons.collections4.comparators,org.apache.commons.fileupload,org.apache.myfaces.context.servlet,org.apache.tomcat,org.apache.wicket.util,org.codehaus.groovy.runtime,org.hibernate,org.jboss,org.mozilla.javascript,org.python.core,org.springframework <\/code><\/pre> <\/li> 如果命中黑名单，抛出异常："autoType is not support."<\/li> <\/ul> <\/li> 检查白名单（acceptList）<\/p> 默认情况下为空<\/li> 开发者可手动添加： ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>addAccept<\/span>(<\/span>"AutoTypeTest.Test1"<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 如果既不在黑名单也不在白名单，抛出异常<\/p> <\/li> <\/ol> 利用条件<\/strong>：@type字段值不在黑名单中且在白名单中<\/p> 情况二：autoTypeSupport=False，使用parseObject(String text, Class clazz)<\/h4> 先检查白名单<\/p> 如果在白名单中，直接返回，跳过黑名单检查<\/li> <\/ul> <\/li> 检查黑名单<\/p> 如果命中黑名单，抛出异常<\/li> <\/ul> <\/li> 检查expectClass.isAssignableFrom(clazz)<\/code><\/p> 判断Class<T> clazz<\/code>参数与@type指定的类是否有继承\/实现关系<\/li> 如果没有，抛出异常："type not match"<\/li> <\/ul> <\/li> <\/ol> 利用条件<\/strong>：<\/p> 不在黑名单且Class<T> clazz<\/code>与@type指定的类有继承\/实现关系<\/li> @type字段值在白名单中<\/li> <\/ol> 情况三：autoTypeSupport=True，使用parseObject(String text)<\/h4> 先检查白名单<\/p> 如果在白名单中，直接返回<\/li> <\/ul> <\/li> 检查黑名单<\/p> 如果命中黑名单，抛出异常<\/li> <\/ul> <\/li> 如果都不匹配，直接返回类<\/p> <\/li> <\/ol> 利用条件<\/strong>：<\/p> @type字段值不在黑名单中<\/li> @type字段值在黑名单中但在白名单中<\/li> <\/ol> 情况四：autoTypeSupport=True，使用parseObject(String text, Class clazz)<\/h4> 与情况二类似，但autoTypeSupport=True<\/p> 4. 早期checkAutoType机制的缺陷<\/h2> 在FastJson 1.2.25及后续几个版本中，存在以下绕过方式：<\/p> 4.1 L;格式绕过<\/h3> 当className以"L"开头并以";"结尾时：<\/p> 程序会去除首尾字符<\/li> 递归调用loadClass加载类<\/li> <\/ol> 例如：<\/p> \/\/ 可以绕过黑名单检查 <\/span><\/span><\/span><\/span>JSON.<\/span>parseObject<\/span>(<\/span>"{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\"}"<\/span>);<\/span> <\/span><\/span><\/code><\/pre>绕过原理：<\/p> 检查黑名单时，检查的是"Lcom.sun.rowset.JdbcRowSetImpl;"，不在黑名单中<\/li> 实际加载的是"com.sun.rowset.JdbcRowSetImpl"<\/li> <\/ol> 5. 防御建议<\/h2> 保持FastJson版本更新<\/li> 谨慎使用autoTypeSupport=true<\/li> 合理配置白名单<\/li> 避免使用不受信任的JSON数据进行反序列化<\/li> <\/ol> 6. 总结<\/h2> checkAutoType机制通过黑白名单和类型匹配来保证反序列化安全，但早期版本存在绕过方式。理解其工作原理有助于更好地配置和使用FastJson，避免安全风险。<\/p>

autoTypeSupport值<\/th>	方法签名<\/th>	情况编号<\/th> <\/tr> <\/thead>
False<\/td>	parseObject(String text)<\/td>	情况一<\/td> <\/tr>
False<\/td>	parseObject(String text, Class clazz)<\/td>	情况二<\/td> <\/tr>
True<\/td>	parseObject(String text)<\/td>	情况三<\/td> <\/tr>
True<\/td>	parseObject(String text, Class clazz)<\/td>	情况四<\/td> <\/tr> <\/tbody> <\/table> 3.2 详细分析<\/h3> 情况一：autoTypeSupport=False，使用parseObject(String text)<\/h4> 程序首先检查黑名单（denyList）<\/p> 黑名单内容： bsh,com.mchange,com.sun.,java.lang.Thread,java.net.Socket,java.rmi,javax.xml,org.apache.bcel,org.apache.commons.beanutils,org.apache.commons.collections.Transformer,org.apache.commons.collections.functors,org.apache.commons.collections4.comparators,org.apache.commons.fileupload,org.apache.myfaces.context.servlet,org.apache.tomcat,org.apache.wicket.util,org.codehaus.groovy.runtime,org.hibernate,org.jboss,org.mozilla.javascript,org.python.core,org.springframework <\/code><\/pre> <\/li> 如果命中黑名单，抛出异常："autoType is not support."<\/li> <\/ul> <\/li> 检查白名单（acceptList）<\/p> 默认情况下为空<\/li> 开发者可手动添加： ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>addAccept<\/span>(<\/span>"AutoTypeTest.Test1"<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 如果既不在黑名单也不在白名单，抛出异常<\/p> <\/li> <\/ol> 利用条件<\/strong>：@type字段值不在黑名单中且在白名单中<\/p> 情况二：autoTypeSupport=False，使用parseObject(String text, Class clazz)<\/h4> 先检查白名单<\/p> 如果在白名单中，直接返回，跳过黑名单检查<\/li> <\/ul> <\/li> 检查黑名单<\/p> 如果命中黑名单，抛出异常<\/li> <\/ul> <\/li> 检查expectClass.isAssignableFrom(clazz)<\/code><\/p> 判断Class<T> clazz<\/code>参数与@type指定的类是否有继承\/实现关系<\/li> 如果没有，抛出异常："type not match"<\/li> <\/ul> <\/li> <\/ol> 利用条件<\/strong>：<\/p> 不在黑名单且Class<T> clazz<\/code>与@type指定的类有继承\/实现关系<\/li> @type字段值在白名单中<\/li> <\/ol> 情况三：autoTypeSupport=True，使用parseObject(String text)<\/h4> 先检查白名单<\/p> 如果在白名单中，直接返回<\/li> <\/ul> <\/li> 检查黑名单<\/p> 如果命中黑名单，抛出异常<\/li> <\/ul> <\/li> 如果都不匹配，直接返回类<\/p> <\/li> <\/ol> 利用条件<\/strong>：<\/p> @type字段值不在黑名单中<\/li> @type字段值在黑名单中但在白名单中<\/li> <\/ol> 情况四：autoTypeSupport=True，使用parseObject(String text, Class clazz)<\/h4> 与情况二类似，但autoTypeSupport=True<\/p> 4. 早期checkAutoType机制的缺陷<\/h2> 在FastJson 1.2.25及后续几个版本中，存在以下绕过方式：<\/p> 4.1 L;格式绕过<\/h3> 当className以"L"开头并以";"结尾时：<\/p> 程序会去除首尾字符<\/li> 递归调用loadClass加载类<\/li> <\/ol> 例如：<\/p> \/\/ 可以绕过黑名单检查 <\/span><\/span><\/span><\/span>JSON.<\/span>parseObject<\/span>(<\/span>"{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\"}"<\/span>);<\/span> <\/span><\/span><\/code><\/pre>绕过原理：<\/p> 检查黑名单时，检查的是"Lcom.sun.rowset.JdbcRowSetImpl;"，不在黑名单中<\/li> 实际加载的是"com.sun.rowset.JdbcRowSetImpl"<\/li> <\/ol> 5. 防御建议<\/h2> 保持FastJson版本更新<\/li> 谨慎使用autoTypeSupport=true<\/li> 合理配置白名单<\/li> 避免使用不受信任的JSON数据进行反序列化<\/li> <\/ol> 6. 总结<\/h2> checkAutoType机制通过黑白名单和类型匹配来保证反序列化安全，但早期版本存在绕过方式。理解其工作原理有助于更好地配置和使用FastJson，避免安全风险。<\/p>

FastJson checkAutoType安全机制研究<\/h1>

1. 概述<\/h2> FastJson在1.2.25及之后的版本中引入了checkAutoType安全机制，旨在防止autoType机制带来的安全隐患。本文详细分析checkAutoType的工作原理、触发条件以及可能的绕过方式。<\/p>

2. checkAutoType机制基础<\/h2>

3. checkAutoType工作机制<\/h2>

3.2 详细分析<\/h3>

情况四：autoTypeSupport=True，使用parseObject(String text, Class clazz)<\/h4> 与情况二类似，但autoTypeSupport=True<\/p>

4. 早期checkAutoType机制的缺陷<\/h2> 在FastJson 1.2.25及后续几个版本中，存在以下绕过方式：<\/p>

6. 总结<\/h2> checkAutoType机制通过黑白名单和类型匹配来保证反序列化安全，但早期版本存在绕过方式。理解其工作原理有助于更好地配置和使用FastJson，避免安全风险。<\/p>

1. 概述<\/h2>
FastJson在1.2.25及之后的版本中引入了checkAutoType安全机制，旨在防止autoType机制带来的安全隐患。本文详细分析checkAutoType的工作原理、触发条件以及可能的绕过方式。<\/p>

情况四：autoTypeSupport=True，使用parseObject(String text, Class clazz)<\/h4>
与情况二类似，但autoTypeSupport=True<\/p>

4. 早期checkAutoType机制的缺陷<\/h2>
在FastJson 1.2.25及后续几个版本中，存在以下绕过方式：<\/p>

6. 总结<\/h2>
checkAutoType机制通过黑白名单和类型匹配来保证反序列化安全，但早期版本存在绕过方式。理解其工作原理有助于更好地配置和使用FastJson，避免安全风险。<\/p>