这周收到外部合作同事推送的一篇文章，【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞（CVE-2020-1948）通告。 按照文章披露的漏洞影响范围，可以说是当前所有的 Dubbo 的版本都有这个问题。 无独有偶，这周在 Github 自己的仓…

视频讲解XXE 漏洞的攻击流程，这次微信支付的漏洞到底出现在哪个环节

br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链，可以绕过 jackson-databind 黑名单限制，远程攻击者通过向使用该组件的 web 服务接口发送特制请求包，可以造成 远程代码执行。 自动引入 jackson 相关 jar , 笔者通过…

近期，安全研究人员在Java的FTP URL处理代码中发现了一个协议流注入漏洞，研究表明，如果这个漏洞能够配合XXE漏洞或SSRF漏洞的话，那么攻击者就可以通过SMTP协议来让存在漏洞的Java应用在未经许可的情况下发送恶意邮件。

近日，专注于开源及云安全监控防范工作的 Snyk 公司披露了一种可能会造成任意文件被覆写的安全漏洞，称为 Zip Slip。其相应的攻击手段是创建一种特制的ZIP压缩文件，在其中引用会…

我们的授权过滤器使用的是permissionsAuthorizationFilter来进行拦截。我们可以在application-shiro中配置filter规则 5、PermissionsAuthorizationFilter对item:query 和从realm中获取权限进…