Fastjson小于1.2.67 UnSerializable RCE分析研究

开篇前言 从2018年2月的第一篇文章开始到现在已经发布了946篇原创文章,时隔2年零2个月,博客粉丝达到了3000人,很是感谢大家的支持以及对笔者博客的喜爱,后续笔者也将用心撰写更加有质量的博客与广大IT领域的人员进行深度交流,为了答谢广大的粉丝,本次奉上一篇最近写的Fastjson反序列化漏洞文章,以此作为致谢~ 影响范围 Fastjson<=1.2.66 漏洞类型 反序列化导致RCE 利用条件 开启autotype 漏洞概述 Fastjson是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将Java Bean 序列化为 JSON 字符串,也可以从 JSON