fastjson漏洞修复,企业网络安全现状分析及对策
fastjson漏洞修复,企业网络安全现状分析及对策详细介绍
本文目录一览: 有没有什么Fastjson 漏洞的缓解策略?
JFrog DevOps 平台是不受Fastjson漏洞影响的。并且可以利用使用JFrog Xray来查找易受攻击的版本:除了暴露新的安全漏洞和威胁外,JFrog Xray SCA 工具通过自动安全扫描,让开发人员和安全团队轻松访问其软件的最新相关信息。JFrog Xray 执行 CVE 的自动上下文分析?加快解决实际可在生产中利用的漏洞的时间。JFrog 的上下文分析引擎可以检测非常量输入传递给易受此问题影响的 API 的 Java 二进制包(parse和parseObject),并验证 API 不会通过第二个参数将反序列化限制为特定类。
fastjson再曝重大安全漏洞,严重可导致服务瘫痪
2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\\x转义字符时可能引发OOM的问题的修复。
360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。
建议广大用户对自身的业务/产品进行组件自查,确认fastjson版本至少升级到1.2.60
漏洞的关键点在com.alibaba.fastjson.parser.JSONLexerBase#scanString中,当传入json字符串时,fastjson会按位获取json字符串,当识别到字符串为\\x为开头时,会默认获取后两位字符,并将后两位字符与\\x拼接将其变成完整的十六进制字符来处理:
而当json字符串是以\\x结尾时,由于fastjson并未对其进行校验,将导致其继续尝试获取后两位的字符。也就是说会直接获取到\\u001A也就是EOF:
当fastjson再次向后进行解析时,会不断重复获取EOF,并将其写到内存中,直到触发oom错误:
最终效果为:
fastjson < 1.2.60版本
2019-09-03 fastjson提交修补commit
2019-09-05 360CERT发布预警
2019-09-07 周末加班升级!
PS:jackson最近也发布了多个版本进行漏洞修复。
企业网络安全现状分析及对策
企业无时无刻不面临着各种各样的网络安全威胁,无论是不是互联网企业,在这个大时代背景下,所有的企业都离不开网络。虽然在近几年网络安全的发展非常健全但是网络安全的威胁仍然无处不在,从腾讯安全2019至2020年的企业安全威胁报告就可以知道很多目前亟待解决的网络安全问题。
要先了解问题,才能对症下药
企业主要面临着以下十大安全问题
问题一:病毒攻击
有40%的企业每周都要遭遇至少一次的病毒攻击,其中最常见的就是风险类软件、后门远控类木马、感染型病毒,这是企业终端面临最主要的三大威胁。
问题二:企业自身安全防护做得不到位有关
据统计,有79%的企业终端存在未修复的高危流动。其中LNK漏洞补丁安装的比例最高,RTF漏洞补丁安装的比例是最低的,还有74%的机器没有安装补丁,这就带来了非常大的网络安全隐患。
问题三:暴露在公网的服务器被攻击
因技术问题和远程办公的需要,很多企业暴露在公网的服务器被攻击的频率也有升高,这其中远程代码执行攻击、SQL注入、XSS攻击等类型的比例明显提升。
问题四:框架自身带来的问题
框架自身带来的问题也时常发生,特别是开源框架,存在很多的高危漏洞。其中不乏热门的Java开源框架,常用的Jackson框架的漏洞,高性能JSON库Fastjson漏洞、Windows RDS漏洞等。可以看到我们平时经常用到的这么多框架也并不是完全安全的。
问题五:企业资产保护力度不够
非常多的企业资产开放了高危端口,除了22、1900这些常见的端口之外,还有很多邮件服务、数据库服务的专用端口暴露在公网上,给网络攻击提供了非常多的条件。
问题六:漏洞利用、弱口令爆破攻击和文件共享带来了内网病毒的传播风险
利用内网SMB共享服务漏洞传播的“永恒之蓝”依旧是目前的重点。SMB攻击、远程桌面连接爆破和SSH爆破都是最为常见的。其中SSH的爆破也最为广泛。
问题七:病毒持久化驻留
在内网病毒传播之后,更进一步的病毒持久化驻留也成为了新型的传播方式,其中包括常见的注册表相关启动位置及启动文件夹,还有常驻于WMI类属性这几种。
问题八:企业的终端设备没有做好网络安全加固
企业的终端设备没有做好网络安全加固也带来了非常多的风险。企业终端遭受到病毒攻击而失陷之后将会引发信息窃密、敲诈勒索、挖矿木马等一系列安全风险。从2019年开始,针对LoT设备的攻击也越来越频繁。
问题九:金融行业的钓鱼邮件高发
以后门远控为目的的钓鱼邮件占比较多,然后是传播勒索病毒、专业APT组织攻击、信息窃密等几个方面都是19年开始较为高发的钓鱼邮件。
问题十:教育行业变为最受病毒“青睐”的行业
从2019年开始教育行业变为最受病毒“青睐”的行业。在教育、科技、医疗、金融等行业的文件传输方面感染病毒的比例是最高的,这也是因为在传输文件时所做的加固最少。
进入2020年之后,主要的网络安全问题可以归结为五大类
高危漏洞频出、勒索病毒频发、高级可持续威胁攻击APT技术升级、数据泄露问题愈发严重、云安全事件更加频发。
在了解企业自身的网络安全问题后应该要如何应对?
下面是【解决方案】
面对这一系列网络安全问题,企业需要构建自己的安全防线,借助不同类型的网络安全加固产品来针对性地做网络安全的加固处理。针对以上问题,重点在于做好预防,及早发现,及时处理。
越来越多的企业将业务转移到云上,网络攻击面也随之增加。选择网络安全防护产品为企业的产业安全保驾护航是十分必要的。
DDoS防护、等保综合解决方案、高级威胁检测系统、安全运营中心这几款解决方案都是可以帮助企业解决常见网络安全问题的综合解决方案。
更多网络安全加固方面的处理办法和主要产品,企业需要根据自身的情况和业务发展的阶段去选择,具体如何选择,欢迎随时关注并咨询相关行业分析出自身网络问题对症下药。
希望本篇回答可以帮助到你~
Jackson和FastJson性能谁更快
Fastjson快,但是和jackson 的差距不大,优势并没有太明显。Jackson还可以加上AfterBurner来使用byte generation,这样和Fastjson的差距就更小了。
除了速度胜出外,Fastjson相比较 Jackson 有不少短板。
1. 可定制性
Jackson有灵活的API,可以很容易进行扩展和定制,而且很多时候需要的模块都已经有人提供了。比如guava中定义的数据类型,比如kotlin语言Immutable的类型等,比如java8 引入的新日期时间类型和Optional都已经有支持的模块。
FastJson只有一个(简陋)的SerializeFilter机制用来定制序列化,ParseProcess机制用来定制反序列化,每次调用序列化/反序列化的的时候都要自己传filter或者Process这个参数过去,Jackson和 Gson都是直接注册模块就可以了,Jackson还可以使用SPI来自动发现和注册模块。
2. 代码质量
公司有一些项目使用了fastjson,在使用fastjson的项目里面碰到的两个低级bug:
1. 碰到在128~255 的字符直接异常,这些主要是西欧语言的字符,因为他用一个数组来记录 转义后的字符表示,但是数组长度只有128...
2. 内存占用过多。Fastjson为了性能,在ThreadLocal中缓存了char[] buffer,这样避免分配内存和gc的开销。但是如果碰到了大的json(比如10M这样的),就会占用大量的内存,而且以后都是处理小json了内存占用也回不来。
这些问题虽然后来的版本都修复了,但是也反映出Fastjson代码质量上要求不够严格。 而Jackson这么多年来使用上还没有碰到过这样的Bug.
3. 文档
英文文档缺乏已有的也不规范,相比较国内用户还多些。
对比使用对象
在对比中使用的对象基本包含了所有的数据类型和集合,并且是随机生成。这里我直接借鉴了别人测试的时候使用的对象,因为的确比较好,我便没有修改