组件漏洞 - Jackson反序列化

  Jackson是一个强大而高效的Java库,类似于Fastjson,可以方便地在Java对象和JSON之间进行转换
  在Jackson 2.9及之前版本中,启用Default Typing或使用@JsonTypeInfo注解时,存在反序列化漏洞的风险

漏洞场景

点击跳转后需要自行构造触发payload

缺陷代码

安全场景:禁止开启DefaultTyping

禁止开启DefaultTyping功能

tips
安全编码规范:
  1、升级方案:升级Jackson组件到或最新版本
  2、非升级修复:1.4.10后可启动默认安全配置 setupDefaultSecurity()

安全代码