fastjson反序列化RCE漏洞

介绍：fastjson是一个Java语言编写的高性能功能完善的JSON库。

漏洞原因：fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并通过json来填充其属性值。而JDK自带的类com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中有一个私有属性_bytecodes，其部分方法会执行这个值中包含的Java字节码。

漏洞条件：

1. 目标网站使用fastjson库解析json
2. 解析时设置了Feature.SupportNonPublicField，否则不支持传入私有属性
3. 目标使用的jdk中存在TemplatesImpl类

fastjson反序列化RCE漏洞

原文：https://www.cnblogs.com/zpchcbd/p/11697706.html