搜索中心

使用 SerializationBinder 无法完全修复反序列化漏洞隐患。经过深入研究总结了两种不安全 SerializationBinder 限定的绕过方式，下面分享给大家。

DevExpress 是目前 .Net 下最为强大的完整的一套 UI 控件库。在分析绕过 SerializationBinder 不安全的类型绑定过程中，关注到了 DevExpress CVE-2022-28684 反序列化漏洞。

推荐 10 个高质量公众号，不仅原创内容多，而且干货满满！

近日监测到 Apache 发布安全的公告，修复了一个存在于 Apache Flume 中的代码执行漏洞CVE-2022-25167，攻击者可通过发送特制的 JNDI 查找，从而在目标系统上执行任意代码。

在 v3.2.2 版本之前的 Apache CouchDB 中，可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限，进而实现 RCE ，漏洞编号 CVE-2022-24706 。

Django 数据库函数 Trunc 和 Extract 主要用于进行日期操作，如果将未过滤的数据传递给 kind 或 lookup_name 时，将会产生 SQL 注入漏洞 CVE-2022-34265。

2022.07.20 Atlassian 官方通报了 Questions for Confluence 应用程序存在硬编码漏洞 CVE-2022-26138，当 Confluence 安装该应用程序后，会自动新增一个硬编码的管理员账号密码。

近日监测到Apache发布公告，修复了Apache Shiro框架中的一个认证绕过漏洞CVE-2022-32532当使用RegexRequestMatcher进行认证配置时，可以通过构造特殊请求绕过正则表达式检查，从而实现认证绕过。

近日 Whatsup Gold 披露了多个漏洞，CVE-2022-29847 是未授权 SSRF 漏洞，可以获取任意用户加密口令，可结合安装序列号恢复明文，与 CVE-2022-29846 序列号泄露组合使用可获取控制台管理权限。

漏洞空间站上线啦！！Zoho ManageEngine ADSelfService 6118 以前版本存在认证后目录穿越问题（CVE-2022-29457），可导致远程命令执行。

Atlassian Jira 存在服务端伪造请求漏洞 CVE-2022-26135，该漏洞是由 Mobile Plugin for Jira 组件造成的，可通过 Jira REST API 发送特殊请求，从而发起 SSRF 攻击。

CVE-2022-33980 Apache Commons Configuration 变量差值导致远程命令执行。

Zoho ManageEngine ADAudit Plus v7060 以前版本存在认证前 XXE 、JAVA 反序列化和目录穿越漏洞，综合利用可实现远程命令执行。

Grav CMS 可以通过 Twig 来进行页面的渲染，近期监测通报了 RCE 漏洞CVE-2022-2073 ，研究发现最新版本补丁也很容易绕过。

近日Oracle通报了一个反序列化漏洞CVE-2022-21445，未经身份认证的远程攻击者可利用该漏洞实现反序列化操作导致任意代码执行。任何基于ADF Faces框架开发的程序都受到此漏洞的影响，包括Oracle的多个产品。

Advantech iView存在多种不同类型的RCE漏洞CVE-2022-2135&2143&2135等等，结合 3 个接口分别通过SQL注入、命令注入和路径穿越实现getshell。

开发 WinRAR 的 RarLab 公司研发的 unrar Linux 版本的二进制文件中发现了一个路径穿越漏洞 CVE-2022-30333 ，可以实现任意文件写入。

微软发布 Skype for Business 存在一个信息泄露漏洞 CVE-2022-26911。

ZyXel NAS产品中的某个特定二进制程序中存在一个格式化字符串漏洞，可导致攻击者通过精心构造的UDP数据包实现越权远程代码执行。

Apache Spark 支持启动 ACL 来为 Web UI 访问提供身份验证，当 ACL 启动时可以通过构造特殊请求用户名导致 RCE 。

产品

TopAS自适应安全防御系统

天融信

128

0

天融信自适应安全防御系统TopAS是一款以工作负载为中心的主机安全产品，融合Gartner提出的自适应安全架构和云工作负载保护平台CWPP的核心理念，在主机层面构建统一的安全态势运营平台，为用户提供持续的安全监控、安全分析和快速的响应能力，帮助用户有效预测安全风险，精准感知安全威胁，快速阻断威胁入侵。

产品

安全狗云眼

安全狗

222

0

借鉴Gartner提出的CWPP设计思路，采用先进的端点检测及响应（EDR）技术模型、自适应安全架构及ATT&CK在Server EDR中的应用相结合的理念，构建的新一代(云)主机入侵监测及安全管理系统，解决私有云、混合云中主机安全监测及防护问题。

产品

奇安信移动应用自防护系统

奇安信

98

0

奇安信移动应用自防护系统是专为企业移动应用设计的安全防护产品，能有效解决恶意篡改、数据泄漏等问题。通过封装技术，实现数据安全存储、VPN嫁接、应用加固等，构建安全的业务App生态环境，保障应用和数据安全，广泛应用于政府、企业等领域。

产品

安云UniCWPP云主机安全管理系统

联软科技

112

0

联软科技的安云UniCWPP云主机安全管理系统，是一款以资产驱动的自适应主机安全解决方案。它通过集中管理、实时监控和响应，帮助企业预测风险、感知威胁，提升安全管理效率。系统具备资产管理、合规管理和风险管理等核心功能，支持公有云、私有云、混合云及传统服务器环境，满足等保、CIS等安全标准，实现安全与业务的深度融合。

产品

运行时应用自免疫系统（RASP）

爱加密

79

0

爱加密推出的运行时应用自免疫系统（RASP）是一款基于情境感知技术的新一代应用威胁免疫平台。该系统通过专利级算法，实现实时攻击检测与阻断，具备全面且精准的防护能力，覆盖多种网络协议，为Web应用提供创新性安全防护解决方案，有效提升应用系统的防御能力。

产品

云安全资源池

启明星辰

128

0

启明星辰推出的云海安全专有云系统（Vetrix）是一款新一代云安全资源池平台型产品，专为私有云或虚拟化资源池用户设计。它通过虚拟化安全资源池、智慧流平台（SDS）和云导流系统（VTAP），实现对虚拟化环境的深度防护和弹性扩展，满足用户对安全性能的动态需求。Vetrix支持集中管理、快速伸缩性、资源池化，具备动态自适应安全、方案适用性强、安全独立运营等技术优势，为用户提供安全合规、灵活扩展、独立部署和设备利旧的用户价值。

厂商

火绒安全

111

0

火绒安全成立于2011年9月，是一家专注、纯粹的安全公司，致力于在终端安全领域，为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等自主研发技术。

产品

云鲨RASP

悬镜安全

115

0

悬镜安全推出的云鲨RASP是一款基于AI的自适应云防御平台，采用专利级AI检测引擎和应用漏洞攻击免疫算法，实现运行时安全防护。它通过深度学习技术，有效避免误报，降低配置需求，提供全面的威胁防御能力，适用于金融、能源、政务等行业，助力企业构建敏捷安全的DevSecOps体系。

产品

UniWSG Web安全网关

联软科技

69

0

UniWSG Web安全网关是联软科技推出的一款边界安全产品，专为企业Web应用提供安全防护。它通过收敛Web应用的互联网端口，实现公网隐身，有效防御OWASP常见安全威胁。UniWSG具备SPA单包授权、应用级安全隧道、DLP数据防泄漏、负载均衡、入侵攻击检测防护等功能，支持业务请求交易分析，帮助企业实现数据化运营。产品优势包括无端模式实现业务隐身、一站式数据化运营、全面入侵攻击检测防护等。UniWSG适用于金融、制造、政府、医疗等行业，满足移动办公、医院服务平台、高校远程访问等典型应用场景的安全需求。

产品

应用安全渠道监测

启明星辰

82

0

启明星辰提供的应用安全渠道监测服务，利用大数据分析和高效爬虫技术，全面覆盖主流移动应用市场，实现7x24小时监控，及时发现并预警盗版、钓鱼等安全威胁，有效提升APP运营安全防护，降低企业运营成本，保护公司信誉。

产品

应用安全检测分析

启明星辰

74

0

启明星辰的移动应用安全检测服务，通过自动化与人工检测相结合，全面覆盖风险点，快速发现并解决APP安全问题，提升应用安全性，满足法规要求，操作简便，性价比高。

产品

工业主机防护系统

启明星辰

116

0

启明星辰推出的天珣工业主机安全防护系统，专为工控行业设计，提供进程、网络和外接设备白名单控制，结合AI自学习技术和威胁情报，实现高效、低资源占用的终端安全管理，构建可控、可靠的工控网络环境，保障企业安全连续生产。

产品

国密VPN安全网关

启明星辰

137

0

启明星辰的国密VPN安全网关，基于IPSec/SSL技术，集成身份认证、传输加密、访问控制和日志审计等安全功能，为企事业单位提供数据加密传输和移动办公用户远程接入的高效安全解决方案。

产品

天玥视频安全审计系统

启明星辰

60

0

启明星辰集团的天玥视频安全审计系统，是一款基于SIP协议和BS架构的视频流量审计产品。它通过镜像旁路部署，分析记录视频操作行为，智能发现异常，支持多种审计报告模板，适用于高安全需求单位，如政府、交通等，有效防范视频泄露和非法操作。

产品

天珣内网终端安全管理

启明星辰

276

0

启明星辰的天珣内网安全风险管理与审计系统，是业界领先的内网安全管理产品。它通过一体化客户端及管理平台，提供传统桌面管理、终端数据防泄露、终端防病毒的全面解决方案，满足行业合规需求，有效解决终端安全问题，提升安全效率，降低运维成本，保障企业核心业务安全。

产品

斗象托管式安全运营中心

斗象科技

235

0

斗象科技的MSS托管式安全运营中心，提供云端与本地结合的安全服务，具备实战化、可持续的防护能力。产品亮点包括XLakehouse安全元数据湖、云原生架构、漏洞盒子能力Inside，以及7x24小时闭环服务。技术优势涵盖一站式部署、AI模型加持，适用于多种安全运营场景。

厂商

慧盾安全

63

0

慧盾安全致力于数据安全整体解决方案的研发、销售和服务，主营业务为视频安全、大数据安全。

产品

问津

长亭科技

181

0

问津安全大模型通过长亭独家知识与能力，包含漏洞情报、威胁分析引擎、可自配置的知识库，并结合大语言模型的能力，可快速落地、任意场景、全天待命解决信息和安全工具之间的碎片化问题，全面提升安全运营效率

厂商

青藤云安全

163

0

作为中国云安全整体解决方案领军者，青藤聚焦于关键信息基础设施领域的云安全建设，坚持“技术创新，科技报国”的初心，为数字中国、网络强国事业发展做贡献。

产品

aTrust零信任访问控制系统aTrust

深信服

97

0

零信任访问控制系统aTrust是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制”为核心的创新安全产品。业界率先推出主动防御 + 被动防御一体化能力，基于传统 SDP 架构“账号、终端、设备”三道防线，持续增强防线内纵深防护；扩展主动防御能力，创新融合威胁诱捕、安全雷达等技术，形成新一代零信任架构 X-SDP。同时，aTrust作为深信服零信任平台ZTA的核心组成部分，支持对接态势感知、EDR、AC等多种安全设备，安全能力持续成长，助力用户网络安全体系向零信任架构迁移，帮助用户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。

产品

阿里云办公安全平台

阿里云

78

0

阿里云办公安全平台（Security Access Service Edge）依托阿里云海量的边缘节点，将安全能力延伸至用户边缘，为企业分支机构/门店、远程移动办公场景的访问互联网及云上服务流量提供就近接入的安全防护能力。

厂商

360

76

0

360是中国领先的互联网和安全服务提供商。自2005年成立以来，360公司一直致力于为用户提供全面、可靠的网络安全解决方案。

产品

奇安信 WAF

奇安信

99

0

奇安信的Web应用防火墙是一款专注于网站和应用系统安全的产品，通过分析和拦截HTTP/HTTPS的Web攻击行为，有效降低网络安全风险。它具 备自适应网络、细粒度防御、网页防篡改和统计报表等功能，同时拥有态势感知展示和智慧Web应用防火墙的优势，支持移动终端管控，为网站安全提供全面保护。

产品

靖云甲 - 应用安全防护系统

边界无限

71

0

靖云甲·应用程序自我防护系统利用RASP+Agent双核心技术加持，基于Agent注入原理实现应用运行时行为感知能力，精准捕获敏感操作。

厂商

威努特

172

0

威努特是国内工控安全行业领军者，凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业

厂商

保旺达

62

0

公司以“创造更安全的数字未来"为使命，基于自主创新技术做精做深全系数据安全产品。

厂商

瑞数

127

0

瑞数信息作为中国Bot自动化攻击防护领域的创新和引领者，自2012年成立以来迅速成长，覆盖上千家客户。

厂商

开源网安

62

0

开源网安创立于2013年，是中国软件安全行业创领者、网络安全百强企业。

厂商

迪普

137

0

迪普科技 以“让网络更简单、智能、安全”为使命，聚焦于网络安全及应用交付领域，是一家集研发、生产、销售于一体的高科技上市企业。

厂商

圣博润

65

0

北京圣博润高新技术股份有限公司是一家专注于网络安全技术研究、产品研发和安全服务的高新技术企业。

厂商

安恒信息

297

0

安恒信息以、数据安全、AI、安全运营服务为核心战略，涵盖网络安全、数据安全、云安全、信创安全、密码安全、安全服务等数字安全能力，服务10万+政企单位客户。

厂商

海泰方圆

53

0

北京海泰方圆科技股份有限公司是一家以密码全能力和可信数据治理为核心，全面服务于网信大时代的领军安全企业。

厂商

海云安

56

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

厂商

吉大正元

63

0

吉大正元以密码技术为核心，开展信息安全软件的研发、生产和销售及服务，面向政府、军工、金融、能源、电信等重点行业和领域提供基于密码的可信身份认证等全方位解决方案。

厂商

天地和兴

56

0

北京天地和兴科技有限公司是我国最早专注于工业网络安全的专精特新企业之一。

厂商

傲盾

92

0

北京傲盾软件有限责任公司，以下简称"傲盾公司"，是注册于中关村的高新技术企业，自 1998 年开始， 就一直致力于 DDoS 防火墙产品的研发。基于持续的技术研究和技术创新， 傲盾公司在漏洞挖掘和防护技术、 黑客攻击防御技术、非法信息监控技术、网络加速技术、IDC整体解决方案等多个领域积累了丰富的经验。

厂商

指掌易

136

0

北京指掌易科技有限公司，专注于移动业务安全包括移动办公安全和移动应用安全，同时指掌易遵循以零信任安全理念构建的自适应访问控制的零信任安全架构的零信任解决方案，为各行业用户打造一站式移动业务安全赋能平台，助力用户安全、高效、合规开展业务。

厂商

数安易科技

95

1

数安易科技是新一代的数据安全公司，核心团队来自业内著名数据安全厂商和百度、京东等大厂，具备十多年的数据安全产品研发和销售经验。自研的新一代数据安全产品如数据库审计、数据库安全运维、数据脱敏、数据加密、数据资产管理平台等产品广泛运用于运营商、金融、政府、军工、医疗、能源等重要行业客户，广受好评。

厂商

蜚语科技

124

0

蜚语科技是一家专注于提供软件供应链安全创新解决方案的网络安全企业，成立于2019年。 蜚语科技孵化自上海交通大学计算机系，创始团队由4名博士组成，拥有十数年的前沿安全研究和一线安全业务经验。 。

厂商

亚信安全

287

0

亚信安全是中国网络安全软件领域的领跑者，以"懂网、懂云"的网络安全公司自居。