摘要:
![Fastjson 1.2.25-1.2.47 补丁绕过](https://img2020.cnblogs.com/blog/2485493/202108/2485493-20210813172516582-1130960479.png)
这篇文章主要是对Fastjson 1.2.25-1.2.47版本反序列化漏洞进行了分析。对在 Fastjson1.2.25 中使用了 checkAutoType 来修复1.2.22-1.2.24中的漏洞,其中有个 autoTypeSupport 默认为 False。当 autoTypeSupport 为 False 时,先黑名单过滤,再白名单过滤,若白名单匹配上则直接加载该类,否则报错。当 autoTypeSupport 为 True 时,先白名单过滤,匹配成功即可加载该类,否则再黑名单过滤。对于开启或者不开启,都有相应的绕过方法。
阅读全文