• JSON
• tricks
• JSON
• Gadgets

JSON 广泛地被应用在各类程序中，这也使其成为了攻防中的焦点。作为最受欢迎的数据交换格式，它被各类编程语言所实现，作为Java开发者最受欢迎之一的 fastjson 服务了无数的 JavaWeb 应用，经过对它的研究我找到了一种可以绕过 1.2.80 版本内部安全检查的方法。

我将在本次议题分享JSON库的攻击思路，以 fastjson 为例提出一种新型在反序列化漏洞中寻找通用利用链的方法，并围绕 fastjson 相关漏洞深入分析，给出多种场景下扩展延伸的攻击方法，还将分享其他JSON库存在的安全问题与WAF对抗思路。