【安全通告】Fastjson <=1.2.68 全版本远程代码执行漏洞通告
Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。
标签
全部文章
#安全
共 54 篇文章
-
-
前后端分离项目接口数据加密的秘钥交换逻辑(补充:MITM中间人攻击)
之前我写到《前后端分离项目接口数据加密的秘钥交换逻辑(RSA、AES)》,解释了前后端在交互数据时候的加解密策略,随着我对网络编程的理解和掌握,两个月后,我必须再写一篇补充的文章,来给我之前的文章打个补丁,因为使用不当还是无法做到绝对安全,上一篇文章没有提中间人攻击,这次我补上。
-
华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关
一位华为 L20 首席安全专家在 GitHub上发布了一个 Linux 内核强化补丁 HKSP ,不过,有意思的是,这个补丁很快被开发团队 grsecurity 发现了一个“轻而易举就能利用的”漏洞,立刻引起了热议。
-
Thunderbolt(雷雳/雷电)接口惊现安全漏洞 2019年前的这些电脑小心了
据外媒报道称,日前,安全研究员发现了一个新的安全漏洞,该漏洞可致使2019年前生产的数百万台电脑很容易受到物理攻击,而攻击的目标是一个共同的组件:Thunderbolt端口。 据安全研究员BjornRuytenberg透露,所谓的“Thunderclap”安全漏洞,是利用Thunderbolt附件授予的特权直接内存访问(DMA)来访问目标设备。除非采取适当的保护措施,否则黑客可以使用该访问权来窃取数据,跟踪文件和运行恶意代码。“黑客可以在几分钟内读取和复制个人电脑上的数据,即使电脑处于锁定或休眠状态。”
-
苹果电邮应用惊现安全漏洞!或被黑客利用了八年
美国网络安全公司ZecOps的研究人员于当地时间周三宣布,他们在苹果iPhone和iPad的电子邮件应用程序中发现了两个零日漏洞。研究人员说,这两个漏洞的变体甚至可以追溯到2012年发布的iOS 6身上,这意味着黑客已经利用它们对iPhone和iPad用户进行了长达八年的攻击。如果设备被感染,用户甚至不知道他们正在被黑客攻击。
-
前后端分离项目接口数据加密的秘钥交换逻辑(RSA、AES)
在前后端分离的项目中,往往需要传输一些敏感的信息,例如密码、金额等,签名验签算法只能保证数据不被篡改,但是却无法对数据进行保密,如果用户输入的密码明文传输,就会被网络中的节点截获,虽然大部分网络运营商并不会去截取网络传输的内容,但是不能排除用户连接的WiFi网络是不是钓鱼网络,所以在传输敏感信息的时候需要加密,本文就讨论如何安全的让客户端和服务器交换秘钥。
-
正确的加密存储密码防止被拖库(脱裤)保护用户登录安全
在日常的开发中对密码的处理一般只是简单的做一下MD5,甚至有的系统直接存储用户的明文密码,如果一旦被黑客拖库,整个数据库被下载走,那黑客可以登录任意一个账户做出危险的操作,甚至无法弥补的事故,所以要正确的加密密码,保护用户账户的安全。
-
微盟复盘删库事件:数据已全找回,制定赔付计划,追责管理层
微盟表示,此次事故给商家经营造成了严重的影响,公司管理层对此深感自责和愧疚,对此微盟准备了1.5亿元人民币赔付拨备金。
-
火车票上身份证脱敏的漏洞可以暴露你的身份证号
火车票大家都非常熟悉了,都做过火车,现在都是实名制购票,火车票上有你的身份证号和姓名等实名信息,其中身份证号被星号隐藏了四位,你以为就可以安全的丢弃吗?作为程序员的我想告诉你,其实通过程序可以很快的计算出你可能的身份证号码。
-
window.opener的安全漏洞和rel=noopener标签的使用
最近我更新了我的网站代码,给友情链接和外部链接增加了rel=noopener标签,所以今天就讨论一下为什么要使用rel=noopener标签,其实这个是一个安全漏洞,JavaScript提供了window.opener来获取创建该窗口的 Window 对象,那么问题就来了,我们一点一点说。
