漏洞测试方法"/>
fastjson反序列化漏洞测试方法
fastjson使用量还是很广泛的,但如何鉴定是fastjson确实是个有趣的问题,跟其他师傅的学习我总结到了一些有趣的方法记录一下
判断是否存在fastjson
如果有原始报错回显,尝试发送一个单独的 {
来触发报错,如果报错中明确包含fastjson则代表存在fastjson
判断是jackson还是fastjson
java系处理json一般采用fastjson或jackson,jackson要求json与javabeacon严格对齐,假定需求的json如下
{"name":"json", "age":21}
增加一个键值对
{"name&#
更多推荐
fastjson反序列化漏洞测试方法
发布评论