FastjsonScan 安装和配置指南

1. 项目基础介绍和主要的编程语言

项目基础介绍

FastjsonScan 是一个用于检测 Fastjson 反序列化漏洞的 Burp Suite 插件。Fastjson 是阿里巴巴开源的一款高性能的 JSON 处理器，但在某些版本中存在反序列化漏洞，可能导致安全风险。FastjsonScan 插件旨在帮助安全研究人员和渗透测试人员快速检测这些漏洞。

主要编程语言

该项目主要使用 Java 语言编写，适用于 Burp Suite 的插件开发环境。

2. 项目使用的关键技术和框架

关键技术

• Burp Suite 插件开发：利用 Burp Suite 的扩展接口，实现自定义的漏洞检测功能。
• Fastjson 反序列化漏洞检测：通过特定的 Payload 和 DNSLog 技术，检测目标是否存在 Fastjson 反序列化漏洞。

框架

• Burp Suite：作为插件的运行环境，提供 HTTP 请求和响应的拦截和处理功能。
• Java：作为主要的编程语言，实现插件的核心逻辑。

3. 项目安装和配置的准备工作和详细的安装步骤

准备工作

1. 安装 Java 开发环境：确保你的系统中已经安装了 Java 开发环境（JDK），建议使用 JDK 1.8 或更高版本。
2. 安装 Burp Suite：下载并安装 Burp Suite，确保你已经拥有 Burp Suite 的许可证。
3. 下载 FastjsonScan 插件：从 GitHub 仓库 Maskhe/FastjsonScan 下载最新的 FastjsonScan.jar 文件。

详细的安装步骤

步骤 1：下载 FastjsonScan 插件

1. 打开浏览器，访问 Maskhe/FastjsonScan GitHub 仓库。
2. 在仓库页面中，找到并下载 FastjsonScan.jar 文件。

步骤 2：安装 FastjsonScan 插件到 Burp Suite

1. 打开 Burp Suite。
2. 导航到 Extender 选项卡，然后点击 Extensions 子选项卡。
3. 点击 Add 按钮，弹出 Add Extension 对话框。
4. 在 Extension Type 下拉菜单中选择 Java。
5. 点击 Select file 按钮，选择你刚刚下载的 FastjsonScan.jar 文件。
6. 点击 Next 按钮，Burp Suite 将加载并安装插件。

步骤 3：验证插件安装

1. 安装完成后，你应该会在 Extensions 列表中看到 FastjsonScan 插件。
2. 如果安装成功，Burp Suite 的输出窗口中会显示相关信息。如果安装失败，请检查 JDK 版本是否正确。

步骤 4：使用 FastjsonScan 插件

1. 在 Burp Suite 中，选择任意一个请求，右键点击并选择 Send to FastjsonScan。
2. 插件将开始扫描该请求，检测是否存在 Fastjson 反序列化漏洞。
3. 扫描完成后，结果将显示在 FastjsonScan 的扫描结果界面中。

注意事项

• 该插件仅支持 content-type 为 xml、json、url-encoded 的 POST 请求，其他请求会返回 not supported。
• 由于反序列化检测利用了 DNSLog，检测过程可能会稍微慢一些。

通过以上步骤，你已经成功安装并配置了 FastjsonScan 插件，可以开始使用它来检测 Fastjson 反序列化漏洞了。