一、漏洞概况 Fastjson 1.2.80 反序列化漏洞情报，攻击者可以在特定条件下可绕过默认 autoType 关闭限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执…

李昇 Akamai区域副总裁暨大中华区总经理   不是所有黑客都以最新的物联网设备或网联汽车为目标。2020年的SolarWinds黑客事件赤裸裸地告诉人们，支撑现代文明的技术不但“乏善可陈…

0x01前言 最近IT圈被爆出的log4j2漏洞闹的沸沸扬扬，log4j2作为一个优秀的java程序日志监控组件，被应用在了各种各样的衍生框架中，同时也是作为目前java全生态中的基础组件之一，这类组…

1、Apache DolphinScheduler概述 Apache DolphinScheduler(Incubator,原Easy Scheduler)是一个分布式数据工作流任务调度系统，主要解决…

漏洞简介 2020年8月23日晚间，宝塔官方紧急推送安全更新，修复了一处在Linux7.4.2版本和Windows 6.8版本中的高危漏洞，攻击者可利用此漏洞越权访问数据库，甚至获取服务器权限。 漏洞…

如今，许多攻击技术都在使用Microsoft Office文档来分发恶意软件。近年来，文档漏洞利用工具包构建器已经有了很多发展，更不用说红色绕过安全解决方案的技巧。 与不需要用户交互的下载相比，基于文…

前言： Ecshop是国内的一款开源的电商框架，在国内应用较为广泛，当前最新版本为4.0.0，最近对其代码进行了简单的分析，发现可以绕过其filter触发XSS。 一、漏洞利用方式 发送GET请求包如…

0×00 XXE漏洞 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意…

0×00 TLDR JRE8u20这个漏洞是其他人在之前JDK7u21的基础上进行改进得到了，他绕过了JavaSE后续对AnnotationInvocationHandler类的修复，阻止了这个类反序…

一、漏洞概述 以太坊智能合约的含义就是一组代码（函数）和数据（合约的状态），它们位于以太坊区块链的一个特定地址上。智能合约一般使用solidity语言编写。 Morpheus Network与世界上一…