Jackson反序列化漏洞
今天又看到有一些安全预警平台爆出的Jackson反序列漏洞,要求把Jackson升级到2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出poc。
Fintech安全之路
通用组件安全治理三步走实践
组件安全治理一直是备受关注的安全问题之一,对于企业安全建设来说,必须有一套从预警到整改的闭环方案。在此笔者想分享我们在组件安全治理上的实践,希望对大家有所帮助。
通用组件安全治理三步走实践
组件安全治理一直是备受关注的安全问题之一,对于企业安全建设来说,必须有一套从预警到整改的闭环方案。在此笔者想分享我们在组件安全治理上的实践,希望对大家有所帮助。
通用组件安全治理三步走实践
组件安全治理一直是备受关注的安全问题之一,对于企业安全建设来说,必须有一套从预警到整改的闭环方案。在此笔者想分享我们在组件安全治理上的实践,希望对大家有所帮助。
CodeQL静态代码扫描之实现关联接口、入参、和危险方法并自动化构造payload及抽象类探究
CodeQL静态代码扫描之实现关联接口、入参、和危险方法并自动化构造payload及抽象类探究
fastjson68版本绕过autotype原理及利用场景分析
fastjson 68版本前一阵子有些闹得沸沸扬扬的,今天看到fastjson代码已经跟进到71版本了,所以对68和69版本的代码做了一下比对,看了一下修复代码,这里对68版本fastjson的RCE漏洞做一下原理以及利用场景的分析。
fastjson68版本绕过autotype原理及利用场景分析
fastjson 68版本前一阵子有些闹得沸沸扬扬的,今天看到fastjson代码已经跟进到71版本了,所以对68和69版本的代码做了一下比对,看了一下修复代码,这里对68版本fastjson的RCE漏洞做一下原理以及利用场景的分析。
被动式漏洞扫描平台建设之路
传统的主动web扫描器面对大型企业成千上万站点的扫描需求时越来越显得捉襟见肘,被动扫描成为各个大厂扫描器的自研之路方向。为实现全行应用上线的自动化安全扫描,平安银行应用安全团队内部研发了命名为“ Hydra”的被动扫描平台。
被动式漏洞扫描平台建设之路
传统的主动web扫描器面对大型企业成千上万站点的扫描需求时越来越显得捉襟见肘,被动扫描成为各个大厂扫描器的自研之路方向。为实现全行应用上线的自动化安全扫描,平安银行应用安全团队内部研发了命名为“ Hydra”的被动扫描平台。
企业快速实践部署IAST/RASP的一种新思路
这里分享我们实践的一个新思路,能有效达到IAST/RASP快速部署的目的。
企业快速实践部署IAST/RASP的一种新思路
这里分享我们实践的一个新思路,能有效达到IAST/RASP快速部署的目的。
招聘|平安银行2020年安全人才招募令!
加入平安银行,“橙”就不一样!
招聘|平安银行2020年安全人才招募令!
加入平安银行,“橙”就不一样!
Apache AJP 协议 CVE-2020-1938 漏洞分析
最近CVE-2020-1938炒的比较热闹,前几天比较忙,今天抽空跟了一下这个漏洞,时间线上肯定比别的大佬晚很多了,所以就选择从环境搭建开始写的详细一点,对这个漏洞多少还有一些困惑的同学可以赏脸看上两眼吧。
Apache AJP 协议 CVE-2020-1938 漏洞分析
最近CVE-2020-1938炒的比较热闹,前几天比较忙,今天抽空跟了一下这个漏洞,时间线上肯定比别的大佬晚很多了,所以就选择从环境搭建开始写的详细一点,对这个漏洞多少还有一些困惑的同学可以赏脸看上两眼吧。
我眼中的数据安全治理
随着大数据时代的到来,带了很多的便利,但是也带来了更多的风险,作为一名安全行业工作者,对于这种变革更是体会深刻,笔者从事的是金融行业的安全工作,在此从数据安全工作落地的角度来聊一聊数据安全治理及具体工作中碰到的问题。
我眼中的数据安全治理
随着大数据时代的到来,带了很多的便利,但是也带来了更多的风险,作为一名安全行业工作者,对于这种变革更是体会深刻,笔者从事的是金融行业的安全工作,在此从数据安全工作落地的角度来聊一聊数据安全治理及具体工作中碰到的问题。
Kibana RCE漏洞详细分析教程
Nodejs的子进程创建如何获取客户端参数的代码写在了proccess.js中,我们关注下客户端参数解析以上
Kibana RCE漏洞详细分析教程
Nodejs的子进程创建如何获取客户端参数的代码写在了proccess.js中,我们关注下客户端参数解析以上
银行业应用安全的建设思考
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)