记一次实战中对fastjson waf的绕过

主要观点总结

文章介绍了在fastjson库中存在的一个安全绕过问题，涉及到作者对fastjson的key值处理的特殊编码处理机制。该问题导致开发者在遇到WAF安全保护的情况下无法通过构造特殊payload进行测试。

关键观点总结

关键观点1: fastjson的key处理方式中存在一个特殊的处理逻辑，使得其支持不同的编码方式如unicode和十六进制编码。

作者在测试过程中发现，单独使用unicode或十六进制编码进行绕过尝试时，仍然被后端WAF所拦截。

关键观点2: 作者在测试中尝试使用双重编码绕过WAF。

作者通过使用双重编码（先进行一次编码然后再进行一次编码）的方式成功绕过WAF的限制，推测后端逻辑是分别对代码进行了unicode和十六进制解码。

关键观点3: 绕过策略的细节和测试过程。

作者通过构造特定的POC（Point of Contact）来测试双重编码的有效性，最终发现这是一种可行的解决方案。

免责声明