fastjson曝出代码执行漏洞,恶意用户可利用此漏洞进行远程代码执行,入侵服务器,漏洞评级为“高危”。
风险:高风险
方式:黑客通过利用漏洞可以实现远程代码执行
影响:1.2.24及之前版本
安全版本:>=1.2.28
集团强制要求更新jar包版本,然后各个系统出现各种错误
参考:https://www.cnblogs.com/shoren/p/fastjson.html
参考:https://www.v2ex.com/t/348227
参考:https://blog.csdn.net/weixin_34049948/article/details/85203048
参考:https://blog.csdn.net/heidou_2016/article/details/89210436
以上都看了一下
因为自身项目特殊性,controller层和service层这两层分别部署在不同的服务器,所以问题和上面都不一样
但是看出来了,是有关序列化和反序列化的问题,因为无论service层还是controller层都没有问题,本地开发环境也没有问题,只有到了两台测试服务器(controller,services分层),就发现service层返回的结果list<Map(String,Object)>正确,但是controller却取不到,
list 集合因为没有实现序列化接口,高版本fastJson 反序列化(无论JSON.parseObjet还是JSON.parseArray)都不行,所以不同服务器调用有问题,
目前个人最快的解决方法:原来的list<Map(String,Object)> 类型 直接改成 String 类型,然后返回给前台
因为接口太多,现在能想到的无论哪种改法都是大工作量,非常希望各位大佬,给出其他更好的思路 0v0