一，Fastjson简介1.Fastjson是什么Fastjson是一个Java库，可以将Java对象转换为JSON格式，当然它也可以将JSON字符串转换为Java对象。Fastjson可以操作任何Java对象，即使是一些预先存在的没有源码的对象。Fastjson源码地址：https://github.com/alibaba/fastjson 2.Fastjson有什么用将Java对象转换为JSON格式，当然也可将JSON格式转换为Java格式3.什么是是反序列化我们搞懂了什么是fastjson那我们理解一下序列化，反序列化又是什么意思呢。序列化：将对象转化成字节的过程作用：因为对象统一存储在

一、Shiro反序列化漏洞-CVE-2016-4437原理将java对象转换为字节序列（json/xml）的过程叫序列化，将字节序列（json/xml）恢复为java对象的过程称为反序列化。Shiro框架提供了“记住我”的功能，用户登陆成功后会生成经过加密并编码的cookie，cookie的key为RememberMe，cookie的值是经过序列化的，使用AES加密，再使用base64编码，服务端在接收cookie时：检索key的值Base64解码，AES解密进行反序列化时未过滤处理，造成漏洞攻击者使用shiro默认的密钥构造恶意序列化对象进行编码来伪造用户的cookie，服务器反序列化时触发

了解漏洞管理解决方案如何帮助安全团队主动发现、确定优先级并解决IT资产中的安全漏洞。什么是漏洞管理？ 漏洞管理是IT风险管理的一个子领域，是对组织IT基础设施和软件中的安全漏洞的持续发现、优先级排序和解决。安全漏洞是网络或网络资产的结构、功能或实现中的任何缺陷或弱点，黑客可以利用这些缺陷或弱点发起网络攻击，获得对系统或数据的未经授权的访问，或以其他方式损害组织。常见漏洞的示例包括可能允许某些类型的恶意软件进入网络的防火墙配置错误，或可能允许黑客接管设备的操作系统远程桌面协议中未修补的错误。由于当今的企业网络如此分散，并且每天都会发现如此多的新漏洞，因此有效的手动或临时漏洞管理几乎是不可能的。网

8月29日消息，据 404Media.co 报道，微软的Skype移动应用存在一个严重的漏洞，可能导致黑客通过发送一个链接就能检测到用户的IP地址。该漏洞只需利用Skype的文本消息功能发送一个链接，无需用户点击该链接，就能暴露用户的IP地址。这个漏洞最初是由一位化名为“Yossi”的独立安全研究员发现的，文章描述了利用这个漏洞的过程：首先，Yossi通过Skype文本聊天给我发送了一个指向 google.com 的链接。这个链接是真的谷歌网站，而不是假的。然后我在iPad上打开了Skype，并查看了聊天消息。我甚至没有点击这个链接，但是很快之后，Yossi就把我的IP地址发到了聊天中，而且是

0x01产品简介  亿赛通电子文档安全管理系统（简称：CDG）是一款电子文档安全加密软件，该系统利用驱动层透明加密技术，通过对电子文档的加密保护，防止内部员工泄密和外部人员非法窃取企业核心重要数据资产，对电子文档进行全生命周期防护，系统具有透明加密、主动加密、智能加密等多种加密方式，用户可根据部门涉密程度的不同（如核心部门和普通部门），部署力度轻重不一的梯度式文档加密防护，实现技术、管理、审计进行有机的结合，在内部构建起立体化的整体信息防泄露体系，使得成本、效率和安全三者达到平衡，实现电子文档的数据安全。0x02漏洞概述  亿赛通电子文档安全管理系统/solr/flow/dataimport接

Solidity合约安全，常见漏洞（第四篇）权力过大的管理员仅仅因为一个合约有一个所有者或管理员，这并不意味着他们需要无限权力。考虑一个NFT。按理说，只有所有者才能从NFT销售中提取收益，但如果所有者的私钥被泄露，能够暂停合约（阻止转账）就会造成严重的破坏。一般来说，管理员的权限应该尽可能的小，以减少不必要的风险。使用Ownable2Step而不是Ownable这在技术上不是一个漏洞，但OpenZeppelinownable如果所有权被转移到一个不存在的地址，会导致合约所有权的丧失。Ownable2step要求接收者确认所有权。这可以防止意外地将所有权发送到一个错误的地址。四舍五入的错误So

Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容前言Apachelog4j是Apache的一个开源项目，Apachelog4j2是一个就Java的日志记录工具。通过重写了log4j框架，并且引入了大量丰富的特性，可以控制日志信息输送的目的地为控制台、文件、GUI组建等，被应用于业务系统开发，用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞，当程序记录用户输入的数据时，即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(JavaNamingandDirectoryInterface,Java命名和目录接口)是SUN公司提供

亿赛通电子文档安全管理系统RCE漏洞一、产品简介二、漏洞概述三、复现环境四、漏洞复现小龙POC检测:五、修复建议免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。一、产品简介亿赛通电子文档安全管理系统（简称：CDG）是一款电子文档安全加密软件，该系统利用驱动层透明加密技术，通过对电子文档的加密保护，防止内部员工泄密和外部人员非法窃取企业核心重要数据资产，对电子文档进行全生命周期防护，系统具有透明加密、主动加密、智能加密等多种加密方式，用户可根

漏洞描述：深信服应用交付报表系统download.php文件存在任意文件读取漏洞，攻击者通过漏洞可以下载服务器任意文件。漏洞利用条件:download.php文件接口漏洞影响范围：应用交付报表系统漏洞复现：1、登录页面： 2.poc：/report/download.php?pdf=../../../../../etc/passwd 修复建议：对下载进行严格控制

如何使用kali系统中的nmap工具扫描网站漏洞1.我们打开kali在终端输入nmap可以看到nmap工具的所有参数如下图2.现在我们来使用nmap工具中的这个nmapwww.xxx.com命令来扫描网站开了那些端口如下图如图我们知道了网站开了那些端口现在我们运行这个nmap-sv-p端口--script=vulners（或者vuln）www.xxx.com如图如上图我们知道了这个网站存在cve和sql漏洞如果大家还有不懂的欢迎进QQ群交流851346179