Java中用Gson解析json字符串

=Start=

缘由:

因为阿里开源的fastjson前段时间爆出的漏洞实在是太多了(而且有些漏洞他们还喜欢偷偷处理,不及时通知广大用户。。。),虽然它用起来很方便,但是,安全第一,早换gson保平安。

正文:

参考解答:

Gson 提供简洁的 toJson() 和 fromJson() 方法以在Java对象和json字符串之间进行转换:

  • toJson() – Java object to JSON
  • fromJson() – JSON to Java object

一些常用的Demo展示,方便以后使用:

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4621.html

《Java中用Gson解析json字符串》上有4条评论

  1. 抽象语法树分析寻找FastJSON的Gadgets
    https://www.freebuf.com/articles/web/213327.html
    https://github.com/Lonely-night/fastjson_gadgets_scanner

    Attacking Unmarshallers :: JNDI Injection using Getter Based Deserialization Gadgets
    https://srcincite.io/blog/2019/08/07/attacking-unmarshallers-jndi-injection-using-getter-based-deserialization.html

    CVE-2019-14540: Another gadgets to exploit default typing issue in (Jackson 2.x – 2.9.9.2 and 2.10.0.pr1)
    https://b1ue.cn/archives/201.html

    https://the.bytecode.club/fernflower.txt

  2. fastjson remote code execute poc 直接用intellij IDEA打开即可 首先编译得到Test.class,然后运行Poc.java
    https://github.com/shengqi158/fastjson-remote-code-execute-poc

    FastJson =< 1.2.47 反序列化漏洞浅析
    https://bithack.io/forum/393

    https://bithack.io/forum/397

    Fastjson <= 1.2.47 远程命令执行漏洞利用工具及方法
    https://github.com/CaijiOrz/fastjson-1.2.47-RCE

    fastjson-rce-exploit
    https://github.com/MagicZer0/fastjson-rce-exploit

发表评论

电子邮件地址不会被公开。 必填项已用*标注