偵測

FastJSON 物件反序列化

critical Web App Scanning Plugin ID 114884

語言:

概要

FastJSON 物件反序列化

說明

序列化是將物件轉換為位元組資料流的處理程序,目的是透過網路儲存或傳送該物件。相反,還原序列化是從此位元組資料流重建物件的處理程序。

當使用 FastJSON 函式庫的應用程式執行不可信的資料反序列化時,攻擊者可能會注入自訂序列化的 JSON 物件,以觸發系統上的惡意程式碼執行或產生拒絕服務攻擊(DoS)。

結果發現,使用 FastJSON 的目標 Java 應用程式會反序列化使用者提供的物件,因此容易受到此攻擊。

解決方案

應用程式絕不應還原序列化未受信任的資料。必要時,應檢閱程式碼,以防止對任意類別執行還原序列化,並強化整個處理程序。請確保 FastJSON 函式庫已更新到最新版本,並考慮使用 FastJSON 的安全模式,或在無法立即更新時,實作自訂的白名單/黑名單類別反序列化功能。

另請參閱

https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

https://github.com/alibaba/fastjson

https://resources.infosecinstitute.com/10-steps-avoid-insecure-deserialization/#gref

https://www.owasp.org/index.php/Deserialization_of_untrusted_data

Plugin 詳細資訊

嚴重性: Critical

ID: 114884

類型: Check Based

已發布: 2025/6/17

已更新: 2025/6/17

掃描範本: api, pci, scan

風險資訊

VPR

風險因素: High

分數: 8.5

CVSS v2

風險因素: High

基本分數: 7.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Critical

基本分數: 9

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: Critical

Base Score: 9.2

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

弱點資訊

可被惡意程式利用: true

參考資訊