Jeeseen123的博客

Fastjson提供autotype功能，允许用户在反序列化数据中通过 @type 指定反序列化的类型，其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。当组件开启autotype并且反序列化不可信的数据时，攻击者构造的数据（恶意代码）会进入特定类的setter或getter方法中，可能会被恶意利用。影响版本Fastjson1.2.47以及之前的版本复现1.1 环境准备攻击机1用于接受反弹shell系统：Win10 x64安装nc，burpsuit

最新消息显示，美国和英国正式将俄罗斯对外情报局（SVR）认定为SolarWinds 黑客入侵事件的幕后黑手。为此，美国财政部已对俄罗斯实施全面制裁，包括制裁了六家俄方企业，并计划驱逐俄罗斯驻华盛顿大使馆的 10 名官员。近年来，软件供应链攻击安全问题频频发生。调查显示，这些攻击造成的企业损失平均超过100万美元，因此，防御供应链攻击是十分必要的。现在我们来盘点下SolarWinds 供应链攻击的事件始末、影响，以及带给企业的一些思考。什么是软供应链攻击？想知道供应链攻击，就得先了解下什么是供应链。