FastjsonScan:一个简单的Fastjson反序列化检测burp插件

共57个文件

java：42个

xml：5个

png：3个

Java

5星 · 超过95%的资源需积分: 46 197 浏览量 2021-04-13 12:37:12 上传评论 1 收藏 339KB ZIP 举报

资源推荐

资源详情

资源评论

收起资源包目录

FastjsonScan-master.zip （57个子文件）

FastjsonScan-master

images

json.png 53KB

menu.png 103KB

result.png 94KB

FastjsonScan.jar 28KB

README.md 2KB

FastjsonScan

src

burp

IIntruderAttack.java 826B

IMessageEditorTab.java 4KB

IHttpRequestResponseWithMarkers.java 2KB

IExtensionStateListener.java 976B

IBurpCollaboratorClientContext.java 4KB

IMessageEditorController.java 2KB

IScannerInsertionPoint.java 6KB

ITempFile.java 892B

IResponseInfo.java 2KB

IExtensionHelpers.java 14KB

IProxyListener.java 1KB

IParameter.java 3KB

IScanIssue.java 4KB

IScanQueueItem.java 3KB

IScannerCheck.java 4KB

IHttpRequestResponse.java 3KB

IBurpCollaboratorInteraction.java 1KB

IScopeChangeListener.java 784B

IResponseVariations.java 2KB

IScannerInsertionPointProvider.java 1KB

IHttpRequestResponsePersisted.java 784B

IScannerListener.java 1023B

IIntruderPayloadGeneratorFactory.java 1KB

ISessionHandlingAction.java 2KB

IBurpExtenderCallbacks.java 42KB

IRequestInfo.java 3KB

IResponseKeywords.java 2KB

ITab.java 1KB

IIntruderPayloadProcessor.java 2KB

IInterceptedProxyMessage.java 4KB

IHttpListener.java 1KB

IMessageEditorTabFactory.java 1KB

ICookie.java 2KB

burp.iml 419B

IMenuItemHandler.java 1KB

ITextEditor.java 3KB

IBurpExtender.java 1007B

IContextMenuFactory.java 1KB

BurpExtender.java 16KB

IContextMenuInvocation.java 6KB

IHttpService.java 1016B

IIntruderPayloadGenerator.java 2KB

IMessageEditor.java 3KB

out

artifacts

FastjsonScan_jar

FastjsonScan.jar 28KB

.idea

.gitignore 176B

misc.xml 403B

encodings.xml 159B

artifacts

FastjsonScan_jar.xml 302B

project-template.xml 89B

description.html 97B

modules.xml 264B

FastjsonScan.iml 425B

# FastjsonScan 一个简单的Fastjson反序列化检测burp插件我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题，本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证，但是我太懒了，先不说burp搭配其他扫描器了，就连找到特定目录下的脚本我都觉得麻烦，所以，我决定一劳永逸地解决这个问题，于是去学习了一下burp插件的写法糊弄出了这个插件 ### 安装方法 - 下载项目中的FastjsonScan.jar文件 - 在burp的Extender->Extensions栏，点击Add,选择下载好的jar文件就可以了（执行环境是Java) 如果成功安装，会输出如下信息，如果未能成功安装可以换下jdk版本？？我用的1.8 ![](images/json.png) ### 使用方法使用方法也很简单，就像使用repeater一样，你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan】将这个请求发送到Fastjson Scan，然后就只需要等待扫描结束🌶 右键菜单中： ![](images/menu.png) FastjsonScan扫描结果界面： ![](images/result.png) 如果扫描的目标存在漏洞，在窗口下面的Request窗口会展示使用的payload,如果没有漏洞，则会展示原始的请求与响应 > ps: 由于反序列化检测利用了dnslog，所以检测会稍微慢一点，在等待结果期间你还可以继续看其他请求，真的是相当方便呢 ### 核心代码核心代码都在BurpExtender.java中了，检测逻辑很简单，注释也都写了，如果你有其他的需求，完全可以自己修改，直接在IDEA中打开FastjsonScan目录就可以继续创造了

评论收藏

内容反馈

余青葭

2023-07-27

：使用这个burp插件，我成功地检测到了一些Fastjson反序列化漏洞，它简单易用，对于我这种不太懂代码的人来说真的很友好。
型爷

2023-07-27

：这个文件提供了一个非常实用的burp插件，能够简单而有效地检测Fastjson反序列化漏洞，对于安全工程师来说确实是一件不错的利器。
林书尼

2023-07-27

：对于我来说，这个FastjsonScan插件是一种非常有用的工具，它能够帮助我快速检测出系统中存在的Fastjson反序列化问题，让我能够及时采取措施来修复漏洞。
仙夜子

2023-07-27

：这个FastjsonScan插件虽然简单，但却非常实用，可以帮助我们及时发现和修复Fastjson反序列化漏洞，大大提高了系统的安全性。
稚气筱筱

2023-07-27

：这个FastjsonScan插件确实不错，虽然功能简单，但却能够很好地满足我的需求，对于安全性有要求的系统来说，使用它是一个不错的选择。