0x00背景fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。经研究，该漏洞利用门槛较低，可绕过autoType限制，风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。0x01影响范围fastjson < 1.2.69

0x00前言对于windows的用户权限、用户组权限等问题，windows 的文件/文件夹的所属权限控制一点也不逊色于linux/Uinx, 并且不是一般人所能可以轻松控制的。下面就来说说，我们在windows文件权限控制的一些问题。0x01 所有者1 右击文件夹【browsers】，这里我们可以选择右击某个文件或者某个文件夹或者整个磁盘。2 【安全】-->>【高级】-->>【所有

0x00 背景威胁建模工具是 Microsoft 安全开发生命周期 (SDL) 的核心要素。潜在安全问题处于无需花费过多成本即可相对容易解决的阶段，软件架构师可以使用威胁建模工具提前识别这些问题。因此，它能大幅减少开发总成本。此外，我们设计该工具时考虑到了非安全专家的体验，为他们提供有关创建和分析威胁模型的清晰指导，让所有开发人员都可以更轻松地使用威胁建模。通过使用Microsoft th...

0x00背景介绍威胁建模工具是 Microsoft 安全开发生命周期 (SDL) 的核心要素。潜在安全问题处于无需花费过多成本即可相对容易解决的阶段，软件架构师可以使用威胁建模工具提前识别这些问题。因此，它能大幅减少开发总成本。此外，我们设计该工具时考虑到了非安全专家的体验，为他们提供有关创建和分析威胁模型的清晰指导，让所有开发人员都可以更轻松地使用威胁建模。0x01使用场景...

0x00 背景CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。恶意攻击者可以利用漏洞攻击做到：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账……造成的问题包括：个

0x00 背景近来处理webshell的时候，发现文件类型被篡改了，如何从HEX编码从判断是否为正常的文件，例如jpg是否为普通jpg还是合成了恶意代码的jpg，故需要分析文件头文件尾，进行一个简单的判断0x01安装工具相对来说，简单快捷的是安装notepad++,然后安装Hex-Editor插件。当前使用其他的，例如UltraEdit、winhex、IDA pro也是不错的选...

0x00背景介绍威胁建模工具是 Microsoft 安全开发生命周期 (SDL) 的核心要素。潜在安全问题处于无需花费过多成本即可相对容易解决的阶段，软件架构师可以使用威胁建模工具提前识别这些问题。因此，它能大幅减少开发总成本。此外，我们设计该工具时考虑到了非安全专家的体验，为他们提供有关创建和分析威胁模型的清晰指导，让所有开发人员都可以更轻松地使用威胁建模。0x01使用场景...

在工作过程中，我经常能和来自全球各地的首席信息安全官(chief information security officers ,CISO)交流，他们所在的企业面对着不同的信息安全环境，关心的安全问题也不尽相同。但总体上来说，他们在信息安全防护上的困扰集中在以下四个问题：1、云应用安全如今，越来越多的企业都开始将企业应用迁移到云端，并更多的使用包括公共邮箱服务、公有云盘、公共

0x00 前言主机上网，主要有两种：一拨号上网，包括家庭ADSL拨号上网、小区宽带拨号上网、无线网卡拨号上网，或者单位家属院专用拨号上网等。；非拨号上网（主机不需要拨号即可以上网），包括单位直接上网、家庭通过路由器共享上网、wifi 上网等。对于主机能够上网，但是虚拟机不能上网的原因有很多种。0x01 网络连接1 桥接模式         这种模式相当于虚拟机为同一个局

0x00 背景说明  自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001：2005发布出来，在国际上获得了空前的认可，相当数量的组织采纳并进行了信息安全管理体系的认证。近几年，IT领域和通信行业发生了非常大的变革，大数据进入商业应用、移动互联网蓬勃兴起、智能终端的广泛采用、云计算技术的风起云涌，信息安全风险也发生了深刻的变化。为了应对新趋势和新要求，ISO于2013