![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
零信任
文章平均质量分 86
Jeeseen123
这个作者很懒,什么都没留下…
展开
-
技术分享 | Fastjson-RCE漏洞复现
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。影响版本Fastjson1.2.47以及之前的版本复现1.1 环境准备攻击机1用于接受反弹shell系统:Win10 x64安装nc,burpsuit原创 2021-05-26 13:58:22 · 467 阅读 · 1 评论 -
从solar winds黑客入侵事件中看供应链安全
最新消息显示,美国和英国正式将俄罗斯对外情报局(SVR)认定为SolarWinds 黑客入侵事件的幕后黑手。为此,美国财政部已对俄罗斯实施全面制裁,包括制裁了六家俄方企业,并计划驱逐俄罗斯驻华盛顿大使馆的 10 名官员。近年来,软件供应链攻击安全问题频频发生。调查显示,这些攻击造成的企业损失平均超过100万美元,因此,防御供应链攻击是十分必要的。现在我们来盘点下SolarWinds 供应链攻击的事件始末、影响,以及带给企业的一些思考。什么是软供应链攻击?想知道供应链攻击,就得先了解下什么是供应链。原创 2021-04-25 10:54:25 · 354 阅读 · 0 评论