Java JSON反序列化之殇-看雪安全开发者峰会


综合

这是我在看雪2017安全开发者峰会的议题《Java JSON反序列之殇》的内容,主要涉及Java JSON常用库GSON,Jackson,Fastjson的使用,安全特性,反序列化安全特性,Fastjson架构,Fastjson RCE的PoC,从TemplateImpl,JNDI Bean Property和JNDI Field做了分类整理分析,最后会涉及JAVA JSON反序列化防御和Java反序列化防御。详情请参考PPT内容。pdf无法显示,直接右键另存为即可或者从github上下载:https://github.com/shengqi158/fastjson-remote-code-execute-poc/blob/master/Java_JSON%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E4%B9%8B%E6%AE%87_%E7%9C%8B%E9%9B%AA%E5%AE%89%E5%85%A8%E5%BC%80%E5%8F%91%E8%80%85%E5%B3%B0%E4%BC%9A.pdf