fastjson漏洞原理及特点是甚么

Fastjson是一个Java语言编写的JSON解析库，广泛利用于Java项目中。Fastjson的主要漏洞原理是由于缺少对用户输入数据的有效过滤和校验，致使歹意用户可以通过构造特定的JSON字符串来触发代码履行漏洞。
Fastjson漏洞的特点主要有以下几点：
1. 反序列化漏洞：Fastjson在解析JSON字符串时，会将JSON字符串反序列化为Java对象。歹意用户可以构造特定的JSON字符串，其中包括歹意代码，在反序列化进程中触发歹意代码履行。
2. RCE漏洞：Fastjson的反序列化漏洞可以致使远程代码履行（Remote Code Execution，RCE）。攻击者可以通过构造歹意的JSON字符串，在服务端触发远程命令履行，从而控制受影响的系统。
3. 默许行动问题：Fastjson在默许情况下会尝试将JSON字符串中的类名转换为实际的Java类，并进行对应的反序列化操作，这可能致使歹意类的加载和履行。
4. 沙盒绕过：Fastjson提供了一些配置选项来限制反序列化和代码履行的范围，如autotype、asm等选项。但是，歹意用户可以通过绕过这些限制，履行歹意代码。
总之，Fastjson的漏洞原理主要是由于反序列化进程中对用户输入数据的不完善过滤和校验，致使歹意用户可以构造特定的JSON字符串来触发代码履行漏洞。