Библиотека Jackson является мощным инструментом для сериализации и десериализации данных в формат JSON в Java-приложениях. Она предоставляет гибкую и эффективную обработку JSON-данных, позволяя преобразовывать Java-объекты в JSON-строки (сериализация) и обратно (десериализация).Но не всегда процесс десериализации данных в библиотеке Jackson происходит очевидным образом. В этой статье я хочу разобрать несколько примеров неочевидной десериализации Boolean в библиотеке Jackson. Ответ
When configured to enable default typing, Jackson contained a deserialization vulnerability that could lead to arbitrary code execution. Jackson fixed this vulnerability by blacklisting known "deserialization gadgets". Spring Batch configures Jackson with global default typing enabled which means that through the previous exploit, arbitrary code could be executed if all of the following is true: * Spring Batch's Jackson support is being leveraged to serialize a job's ExecutionContext. * A…
Команда Spring официально представила поддержку Jackson 3 — одного из крупнейших обновлений в экосистеме JSON для JVM. Уже начиная с Spring Boot 4 и Spring Framework 7, Jackson 3 становится версией по умолчанию, а Jackson 2 помечается как deprecated. В новом переводе от команды Spring АйО поговорим про нововведения — улучшенную безопасность, переход к JsonMapper, отказ от MappingJacksonValue, поддержку новых API и настройку через builder-интерфейсы. Читать далее
Так были ли такие ловушки в гробницах, и если да, то какие именно? Ведь на самом деле — раз древние египтяне вместе с усопшим царем хоронили несметные сокровища (в одной только весьма скромной гробнице Тутанхамона нашли более тонны золота!), то им стоило позаботиться о защите этих сокровищ. В том числе и установив ловушки для тех, кто мог посягнуть на вечный сон царя — на его жизнь после смерти. Читать далее