Gson参数走私漏洞分析与防御指南<\/h1>

0x00 Gson简介<\/h2>
Gson是Google开发的一个Java库，用于Java对象与JSON格式数据之间的序列化和反序列化。它以简单易用和高性能著称，广泛应用于Java生态系统中。<\/p>

0x01 Gson解析过程详解<\/h2>

基本解析流程<\/h3>

初始化解析<\/strong>：<\/p>

Gson gson =<\/span> new<\/span> Gson();<\/span>
<\/span><\/span>User user =<\/span> gson.<\/span>fromJson<\/span>(<\/span>body,<\/span> User.<\/span>class<\/span>);<\/span>
<\/span><\/span><\/code><\/pre><\/li>

解析路径<\/strong>：<\/p>

最终调用fromJson(JsonReader reader, Type typeOfT)<\/code>方法<\/li>
在peek()<\/code>方法中调用doPeek<\/code>处理有效元素<\/li>
<\/ul>
<\/li>

空白字符处理<\/strong>：<\/p>

通过nextNonWhitespace<\/code>方法跳过JSON流中的空白字符<\/li>
允许的无意义字符包括：\n<\/code>、空格、\t<\/code>、\r<\/code><\/li>
<\/ul>
<\/li>

注释处理<\/strong>：<\/p>

支持三种注释格式：

\/**\/<\/code>（多行注释）<\/li>
\/\/<\/code>（单行注释）<\/li>
#<\/code>（单行注释）<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

适配器选择<\/strong>：<\/p>

获取合适的自定义Adapter或Gson自带Adapter<\/li>
调用对应的read<\/code>方法进行JSON解析<\/li>
<\/ul>
<\/li>
<\/ol>
TypeAdapter机制<\/h3>


TypeAdapter作用<\/strong>：<\/p>

接管特定类型的序列化和反序列化过程<\/li>
主要方法：

write(JsonWriter,T)<\/code> - 序列化<\/li>
read(JsonReader)<\/code> - 反序列化<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

常见TypeAdapterFactory<\/strong>：<\/p>

MapTypeAdapterFactory<\/code>：解析map类型数据<\/li>
ReflectiveTypeAdapterFactory<\/code>：处理自定义对象（如User类）<\/li>
<\/ul>
<\/li>
<\/ol>
ReflectiveTypeAdapterFactory解析细节<\/h3>


对象创建<\/strong>：<\/p>

使用this.constructor.construct()<\/code>创建新实例<\/li>
<\/ul>
<\/li>

字段处理<\/strong>：<\/p>

in.beginObject()<\/code>标记JSON对象开始<\/li>
循环遍历所有字段：

in.nextName()<\/code>获取字段名<\/li>
从boundFields<\/code>集合获取对应的BoundField<\/code>对象<\/li>
如果字段标记为deserialized<\/code>，则调用field.read(in, instance)<\/code><\/li>
否则调用in.skipValue()<\/code>跳过字段<\/li>
<\/ul>
<\/li>
in.endObject()<\/code>标记JSON对象结束<\/li>
<\/ul>
<\/li>

键名解析<\/strong>：<\/p>

支持三种格式：

单引号('<\/code>)<\/li>
双引号("<\/code>)<\/li>
无引号<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

值解析<\/strong>：<\/p>

通过nextString<\/code>方法处理<\/li>
同样支持三种格式：单引号、双引号、无引号<\/li>
特殊处理如Long.toString<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
0x02 参数走私漏洞分析<\/h2>
重复键值处理差异<\/h3>


ReflectiveTypeAdapterFactory<\/strong>：<\/p>

默认取重复键值的后者（新值覆盖旧值）<\/li>
<\/ul>
<\/li>

MapTypeAdapterFactory<\/strong>：<\/p>

对重复键值做校验，抛出JsonSyntaxException<\/code><\/li>
<\/ul>
String body =<\/span> "{\"activityId\":\"123\",\"activityId\":\"321\"}"<\/span>;<\/span>
<\/span><\/span>\/\/ 会抛出异常
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ol>
空白字符处理差异<\/h3>


Gson与Fastjson对比<\/strong>：<\/p>

Gson允许的无意义字符：\n<\/code>、空格、\t<\/code>、\r<\/code><\/li>
Fastjson额外处理：\b<\/code>、\f<\/code><\/li>
<\/ul>
<\/li>

关键差异点<\/strong>：<\/p>

Gson允许key\/value首字母不带引号<\/li>
特殊字符出现在value第一个字符时，Gson会将其作为键的一部分<\/li>
<\/ul>
String body =<\/span> "<\/span>{<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
\[\"activityId\":\"123\"}";
   \/\/ Gson会正常解析，$作为键的一部分
   ```

### 实际攻击案例

1. **案例1：利用\b字符**：
   ```java
   String body = "{\"activityId\":\"123\",\b\"activityId\":\"321\"}";
   ```
   - Gson：将`\b"activityId"`视为独立键，取前者("123")
   - Fastjson：忽略`\b`，取后者("321")

2. **案例2：利用分号**：
   ```java
   String body = "{\"activityId\":\"123\";\"activityId\":\"321\"}";
   ```
   - Gson：将`;`视为分隔符，取后者("321")
   - Fastjson：错误解析，取前者("123")

3. **案例3：利用注释符**：
   - Gson支持`\/**\/`、`\/\/`、`#`三种注释
   - 可与不敏感解析器结合造成参数走私

## 0x03 防御措施

1. **输入验证**：
   - 严格校验JSON格式，禁止重复键
   - 过滤特殊字符（`\b`、`\f`、`;`等）

2. **解析器配置**：
   - 使用严格模式解析JSON
   - 禁用注释支持（如有相关配置）

3. **一致性处理**：
   - 系统内统一使用同一种JSON解析器
   - 前后端使用相同的解析逻辑

4. **安全更新**：
   - 及时更新Gson到最新版本
   - 关注安全公告和补丁

5. **自定义TypeAdapter**：
   - 实现严格的键值处理逻辑
   - 对异常格式进行拒绝而非尝试解析

## 0x04 总结

Gson作为广泛使用的JSON解析库，其灵活的解析特性在某些场景下可能导致参数走私风险。开发者需要充分了解解析差异，实施严格的输入验证和安全配置，确保系统在处理JSON数据时的安全性。\]<\/span><\/p>

Gson参数走私漏洞分析与防御指南<\/h1>

0x00 Gson简介<\/h2> Gson是Google开发的一个Java库，用于Java对象与JSON格式数据之间的序列化和反序列化。它以简单易用和高性能著称，广泛应用于Java生态系统中。<\/p>

0x01 Gson解析过程详解<\/h2>

0x02 参数走私漏洞分析<\/h2>

0x00 Gson简介<\/h2>
Gson是Google开发的一个Java库，用于Java对象与JSON格式数据之间的序列化和反序列化。它以简单易用和高性能著称，广泛应用于Java生态系统中。<\/p>