- 综合排序
- 最热优先
- 最新优先
- 来自专栏技术猫屋
fastjson
写在前面 自2017年3月15日 fastjson 1.2.24版本被爆出反序列化漏洞以来,其就成为了安全人员中的重 点研究对象,即使后来 fastjson 为了安全设置了checkAutoType 防御机制 Fastjson的两个机制 fastjson中产生漏洞的根本原因在于其 autoType 机制,以及针对于 autoType 机制做的 checkAutoType 检测防御机制,先来具体看看这两个机制。 是的,fastjson给了我们答案——autotype 机制。 然后看看fastjson的黑名单 https://github.com/LeadroyaL/fastjson-blacklist 在fastjson 1.2.68及以前的黑名单里,虽然包括了大部分常用的父接口和父类 fastjson官方github仓库的issus区,有一个讨论可以解答这个问题 : https://github.com/alibaba/fastjson/issues/3218 个人观点:被市场抛弃的原因往往不是漏洞的产生
2.1K30编辑于 2023-01-03 - 来自专栏网络安全攻防
Fastjson
而丢弃了fastJSON,哎.... 1.2.47的有效载荷如下: package com.FastJson1242; import com.alibaba.fastjson.JSONObject; public class Poc { \1.2.68\fastjson-1.2.68-sources.jar! ,通常情况下都是一些第三方类才会调用到这里: /com/alibaba/fastjson/1.2.68/fastjson-1.2.68-sources.jar! 在FastJSON中com.alibaba.fastjson.util.TypeUtils#addBaseClassMappings用于添加一些基本的类并将其当做缓存使用,但是在查看时可以发现这里的额外加载了一个
4K20发布于 2021-07-21 - 来自专栏pandacode_cn
SpringBoot - FastJson
# 集成 Fastjson 简单使用 通过maven引入相应的json包 <dependencies> <dependency> <groupId>com.alibaba </dependency> </dependencies> # fastjson - 自定义序列化 序列化时需要进行特殊处理的类型,可以进行特殊配置。 SerializeWriter 继承自Java的Writer,其实就是个转为FastJSON而生的StringBuilder,完成高性能的字符串拼接。 ; import com.alibaba.fastjson.parser.Feature; import com.alibaba.fastjson.serializer.SerializeFilter; 例子程序如下: package com.ivan.json; import java.util.Date; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.serializer.SerializerFeature
2K20编辑于 2021-12-17 - 来自专栏Java 学习日记
FastJson 介绍
FastJson 介绍 JSON 协议使用方便,越来越流行,JSON 的处理器有很多,这里我介绍一下FastJson,FastJson 是阿里的开源框架,被不少企业使用,是一个极其优秀的 Json 框架 ,Github 地址: FastJson。 FastJson的特点 FastJson数度快,无论序列化和反序列化,都是当之无愧的fast 功能强大(支持普通JDK类包括任意Java Bean Class、Collection、Map、Date或enum ) 零依赖(没有依赖其它任何类库) Fastjson中的经常调用的方法 parse(String text);: 把JSON文本parse为JSONObject或者JSONArray parseObject
1.4K20发布于 2019-08-19 - 来自专栏叽叽西
Fastjson 使用
提供的json对象) 和 JSONArray(fastJson提供json数组对象) 对象即可。 ; import com.alibaba.fastjson.JSONArray; import com.alibaba.fastjson.JSONObject; import com.alibaba.fastjson.annotation.JSONField Fastjson提供了2个接口。用户控制序列化和反序列化行为,这个实在是太简单,这里不多说。 项目地址 https://github.com/alibaba/fastjson Fastjson 简明教程 https://www.runoob.com/w3cnote/fastjson-intro.html Fastjson处理枚举 - 技术交流 - SpringBoot中文社区 https://springboot.io/t/topic/3648
2.3K20编辑于 2022-05-17 - 来自专栏Ray学习笔记
FastJson 笔记
现在主流的对象与 JSON 互转的工具很多,我们主要介绍今天的主角,阿里巴巴的开源库 - Fastjson。Fastjson是一个Java库,可用于将Java对象转换为其JSON表示。 Fastjson可以处理任意Java对象,包括您没有源代码的预先存在的对象。 FastJson 版本 <! /groupId> <artifactId>fastjson</artifactId> <version>1.2.62</version> </dependency> FastJson 输出空值 在fastjson中,缺省是不输出空值的。 接下来介绍 Fastjson 的定制序列化。 FastJson 定制序列化 fastjson支持多种方式定制序列化。
3.9K10发布于 2020-03-09 - 来自专栏java、Spring、技术分享
fastjson详解
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 例子程序如下: package com.ivan.json; import java.util.Date; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.serializer.SerializerFeature ; import com.alibaba.fastjson.parser.JSONToken; import com.alibaba.fastjson.parser.deserializer.ObjectDeserializer ; import com.alibaba.fastjson.parser.Feature; import com.alibaba.fastjson.serializer.SerializeFilter; 使用的是1.1.x的版本,在转换带有泛型参数类型的时候无法进行转换,而在Spring4配合fastjson1.2.X的版本可以解决这个问题。
3.6K10发布于 2018-09-11 - 来自专栏Ray学习笔记
FastJson 笔记
现在主流的对象与 JSON 互转的工具很多,我们主要介绍今天的主角,阿里巴巴的开源库 - Fastjson。Fastjson是一个Java库,可用于将Java对象转换为其JSON表示。 Fastjson可以处理任意Java对象,包括您没有源代码的预先存在的对象。 FastJson 版本 <! /groupId> <artifactId>fastjson</artifactId> <version>1.2.62</version> </dependency> FastJson 输出空值 在fastjson中,缺省是不输出空值的。 接下来介绍 Fastjson 的定制序列化。 FastJson 定制序列化 fastjson支持多种方式定制序列化。
4.9K10发布于 2020-03-09 - 来自专栏springboot
FastJson详解
一、FastJson介绍 FastJson 是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean Fastjson 的优点 速度快 fastjson相对其他JSON库的特点是快 从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越 使用广泛 fastjson 在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受 在2012年被开源中国评选为最受欢迎的国产开源软件之一 测试完备 fastjson有非常多的testcase,在1.2.11 版本中,testcase超过3321个 每次发布都会进行回归测试,保证质量稳定 使用简单 fastjson的API十分简洁 功能完备 支持泛型,支持流处理超大文本,支持枚举,支持序列化和反序列化扩展 >1.2.79</version> </dependency> 二、FastJson序列化API 序列化 : 是指将Java对象转成json格式字符串的过程。
55010编辑于 2025-01-21 - 来自专栏分享/效率/工具/软件
fastjson 笔记
本文链接:https://blog.csdn.net/qq_37933685/article/details/102932452 demo代码地址 demo/fastjson at master · suveng/demo · GitHub fastjson 最佳实践 如果有更好的可以联系作者修正,哈哈哈哈 Maven 下引入 Fastjson <dependency> <groupId> com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.32</version> </dependency Fastjson 支持 6 种 SerializeFilter,用于不同场景的定制序列化。 中“$ref 循环引用”的问题 解决 FastJson 中“$ref 循环引用”的问题 解决: 关闭循环依赖检测 DisableCircularReferenceDetect
1.7K20发布于 2019-11-12 - 来自专栏Java技术栈
再见 Fastjson!Fastjson 2 正式发布,性能炸裂…
FASTJSON 2.0介绍 FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民 /fastjson2/wiki/jsonb_format_cn FASTJSON 2性能有了很大提升,具体性能数据看这里 https://github.com/alibaba/fastjson2/wiki 使用前准备 2.1 Maven依赖 在fastjson 2.0中,groupId和1.x不一样,是com.alibaba.fastjson2 <dependency> <groupId>com.alibaba.fastjson2 maven.org/maven2/com/alibaba/fastjson2/fastjson2/ 如果原来使用fastjson 1.2.x版本,可以使用兼容包,兼容包不能保证100%兼容,请仔细测试验证 2.0中,package和1.x不一样,是com.alibaba.fastjson2。
5.5K30编辑于 2022-04-25 - 来自专栏F12sec
FastJson Jdbc链
<version>3.19.0-GA</version> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson </artifactId> <version>1.2.24</version> </dependency> </dependencies> import com.alibaba.fastjson.JSON com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl poc package com.akkacloud.demo; import com.alibaba.fastjson.JSON ; import com.alibaba.fastjson.parser.Feature; import com.alibaba.fastjson.parser.ParserConfig; import smartMatch方法 我们跟进去 进入后判断一下有没有key的fieldDeserializer 如果没有就把_bytecodes替换为bytecodes 然后我们进入到进入到com.alibaba.fastjson.parser.deserializer
48430编辑于 2022-09-29 - 来自专栏菩提树下的杨过
去fastjson笔记
fastjson近些年频频爆出安全漏洞,现在已经是互联网的过街老鼠了,建议早去早好,网上搜索了下,相对而言google出品的gson目前还没听说有重大安全问题。 下面是gson替换fastjson可能会遇到的一些坑。
92130发布于 2020-06-16 - 来自专栏网络安全攻防
Fastjson探测简介
Fastjson探测作用 在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢? 可以构造特定的payload来进行探测分析,下面介绍一些常用的payload,且这些Payload可以在AutoType关闭的情况下进行测试~~~ Fastjson探测方法 方法一:java.net.Inet4Address 基础原理分析 Fastjson对于Inet4Address类会使用MiscCodec这个ObjectDeserializer来反序列化: ? 其他方式使用示例 畸形方式1 {"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"http://dnslog Fastjson特性利用 Java 系 Json 处理基本只有 Fastjson 和 Jackson, 由于 Jackson 相对比较严格, 这里可以很好分辨出 Fastjson 和 Jackson,如果请求包中的
1.4K40发布于 2021-07-21 - 来自专栏芋道源码1024
干掉 fastjson!国产新一代 fastjson 2!
FASTJSON 2.0介绍 FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民 /fastjson2/wiki/jsonb_format_cn FASTJSON 2性能有了很大提升,具体性能数据看这里 https://github.com/alibaba/fastjson2/wiki 使用前准备 2.1 Maven依赖 在fastjson 2.0中,groupId和1.x不一样,是com.alibaba.fastjson2 <dependency> <groupId>com.alibaba.fastjson2 maven.org/maven2/com/alibaba/fastjson2/fastjson2/ 2.2 如果原来使用fastjson 1.2.x版本,可以使用兼容包,兼容包不能保证100%兼容,请仔细测试验证 > </dependency> 2.2 常用类和方法 在fastjson 2.0中,package和1.x不一样,是com.alibaba.fastjson2。
1.6K30编辑于 2022-04-24 - 来自专栏Java旅途
fastjson!
一、FastJson为何物 首先抄录一段来自官网的介绍:FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到 从测试结果看,FastJson确实是最快的,但仅比Jackson快20%左右,Google的Gson是最慢的,差距较大。读到这里,是不是觉得选择FastJson肯定没错啊! 三、FastJson并没有那么流行 然而,FastJson并没有那么流行,有一个最直观的数据,那就是在Maven的中的引用量,和Jackson和Gson不在一个数量级,和Jackson强大的家族更没法比 在知乎看到了一篇帖子,讨论为什么外国友人不喜欢FastJson。结论就是FastJson是个代码质量不高的国产类库。 完全颠覆了我的认知,因为在我的项目中,是经常使用FastJson的,并没有出现什么Bug,而且这段评论是在2016年写的。 ? 抱着怀疑的态度,打开FastJson的地址,看到大家提的Issues。
79130发布于 2020-12-18 - 来自专栏Open软件开发小组
FastJson那些事
前言 Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。 Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
70720发布于 2020-03-19 - 来自专栏Java3y
fastjson学习笔记
预览知识点 这篇文章简单讲讲fastjson的使用,希望对大家有帮助。如果有帮助,给我点个赞呀! 一、fastjson入门 以下内容参考官网来源:https://github.com/alibaba/fastjson/wiki/Quick-Start-CN 它可以解析JSON格式的字符串,支持将Java 说白了就是JSON和Java对象互相转换 fastjson优点:速度快、使用广泛、使用简单、功能完备、测试完备(之前爆了很多漏洞,现在我司走发布流程都强制我们升级fastjson版本了),现在使用fastjson 3、使用asm避免反射 4、集成jdk实现的一些优化算法 二、使用fastjson 首先我们在pom文件中引入fastjson的依赖就好了: <dependency> <groupId>com.alibaba </groupId> <artifactId>fastjson</artifactId> <version>x.x.x</version> </dependency> fastjson
1.2K20发布于 2019-12-19 - 来自专栏HUC思梦的java专栏
Fastjson常用方法
Fastjson API入口类是com.alibaba.fastjson.JSON,常用的序列化操作都可以在JSON类上的静态方法直接完成。
1.2K20发布于 2020-09-03 - 来自专栏兮动人的博客
FastJson基本使用
FastJson序列化API 方法:JSON.toJSONString 序列化 : 是指将Java对象转成json格式字符串的过程。
97230编辑于 2022-09-26
腾讯云开发者
