fastjson

Author: 4ra1n

README.md

@@ -22,6 +22,8 @@
 
 [Shiro框架相关的安全问题 - 7个](https://github.com/4ra1n/JavaSecInterview/tree/master/shiro)
 
+[Fastjson组件相关的安全问题 - 6个](https://github.com/4ra1n/JavaSecInterview/tree/master/fastjson)
+
 [Log4j2组件相关的安全问题 - 7个](https://github.com/4ra1n/JavaSecInterview/tree/master/log4j2)
 
 [内存马专题 - 7个](https://github.com/4ra1n/JavaSecInterview/tree/master/memshell)

fastjson/README.md

@@ -0,0 +1,41 @@
+# Fastjson
+
+- 使用`JSON.parse()`和`JSON.parseObject()`的不同（★）
+
+前者会在JSON字符串中解析字符串获取`@type`指定的类，后者则会直接使用参数中的`class`，并且对应类中所有`getter`和`setter`都会被调用
+
+
+
+- 什么情况下反序列化过程会反射调用`getter`（★）
+
+符合`getter`规范的情况且不存在`setter`
+
+
+
+- 如果不存在`setter`和`getter`方法可以反射设置值吗（★）
+
+需要服务端开启`Feature.SupportNonPublicFiel`参数，实战无用
+
+
+
+- Fastjson在反序列化`byte[]`类型的属性时会做什么事情（★）
+
+将会在反序列化时候进行`base64`编码
+
+
+
+- 谈谈常见的几种Payload（★★★）
+
+首先是最常见的`JdbcRowSetImpl`利用`JDNI`注入方式触发，需要出网
+
+利用`TemplatesImpl`类比较鸡肋，需要服务端开启特殊参数
+
+不出网的利用方式有一种`BasicDataSource`配合`BCEL`可实现不出网`RCE`
+
+另外某个版本之后支持`$ref`的功能，也可以构造一些Payload
+
+
+
+- 谈谈1.2.47版本之前的绕过（★★★）
+
+首先是利用解析问题可以加括号或大写L绕过低版本，高版本利用了哈希黑名单，之所以要哈希是因为防止黑客进行分析。但黑名单还是被破解了，有师傅找到可以绕过了类。在1.2.47版本中利用缓存绕过