dubbo
近日 dubbo 官方報告了乙個 dubbo 遠端**執行問題(cve-2020-1948),該問題由 provider 反序列化漏洞引起。根據介紹,攻擊者可以使用無法識別的服務名稱或方法名稱,並帶上一些惡意引數有效載荷傳送 rpc 請求。當惡意引數反序列化後,將執行一些惡意**。
受影響的版本:
fastjson
近日,阿里雲應急響應中心監測到fastjson爆發新的反序列化遠端**執行漏洞,黑客利用漏洞,可繞過autotype限制,直接遠端執行任意命令攻擊伺服器,風險極大。
fastjson採用黑白名單的方法來防禦反序列化漏洞,導致當黑客不斷發掘新的反序列化gadgets類時,在autotype關閉的情況下仍然可能可以繞過黑白名單防禦機制,造成遠端命令執行漏洞。經研究,該漏洞利用門檻較低,可繞過autotype限制,風險影響較大。阿里雲應急響應中心提醒fastjson使用者盡快採取安全措施阻止漏洞攻擊。
受影響的版本:
公升級到最新版本1.2.69或者更新的1.2.70版本。
fastjson和jsoncode的區別
jsoncode所需要引用的依賴 cn.miludeer jsoncode 1.2.4 舉例的值 b fastjson和jsoncode的取值方式 jsonobject ob json.parseobject json getjsonobject json getjsonobject b strin...
Gson 和 Fastjson的區別
背景 目前在公司負責的業務,主要是跟json資料打交道,fastjson gson都用,他們適用於不同場景。fastjson號稱是業界處理json效率最高的框架,沒有之一。但在某些場景下,效率最高的不一定 能適合你 來,先上兩道菜 第一道普通菜 public class user public us...
Gson 和 FastJson 效能測試
使用版本 compile com.google.code.gson gson 2.7 compile com.alibaba fastjson 1.2.17 評測樣板為乙個people陣列,people物件 中包含乙個food物件引用。各個字串採用隨機數模擬 盡量模擬列表請求資料。string ms...