搜索中心

传统的主动web扫描器面对大型企业成千上万站点的扫描需求时越来越显得捉襟见肘，被动扫描成为各个大厂扫描器的自研之路方向。为实现全行应用上线的自动化安全扫描，平安银行应用安全团队内部研发了命名为“ Hydra”的被动扫描平台。

预览

预览

预览

预览

108人阅读

2024-08-08

在新时期对更频繁、快捷、可靠以及智能的要求下，传统意义上的SDLC模式逐渐成为整个研发流程中的短板，企业安全需转变思维，建设在敏捷模式下的广义应用安全体系。

安全运营是应用安全管控体系建设的能力支撑，而安全运营平台则是为安全运营做好工具支撑，提供更高效、更便捷的运营方式和途径。

组件安全治理一直是备受关注的安全问题之一，对于企业安全建设来说，必须有一套从预警到整改的闭环方案。在此笔者想分享我们在组件安全治理上的实践，希望对大家有所帮助。

数字化时代科技安全风险治理面临巨大挑战，安全团队需要思考从运动式检查转为长效化管控。

CommonsCollection在java反序列化的源流中已经存在了4年多了，关于其中的分析也是层出不穷，本文旨在整合分析一下ysoserial中CommonsCollection反序列化漏洞的多种利用手段，从中探讨一下漏洞的思路。

随着大数据时代的到来，带了很多的便利，但是也带来了更多的风险，作为一名安全行业工作者，对于这种变革更是体会深刻，笔者从事的是金融行业的安全工作，在此从数据安全工作落地的角度来聊一聊数据安全治理及具体工作中碰到的问题。

今天又看到有一些安全预警平台爆出的Jackson反序列漏洞，要求把Jackson升级到2.9.10.6，所以在下面对漏洞原理和适用范围做一下分析，并给出poc。

这里分享我们实践的一个新思路，能有效达到IAST/RASP快速部署的目的。

最近两年ST2-OGNL方面的漏洞已经渐渐淡出大家的视线，但我觉得作为曾经红极一时的经典系列RCE漏洞，对于ST2和OGNL有一个深入的认知对于代码审计和漏洞挖掘者是十分重要的，

新年快乐！

fastjson 68版本前一阵子有些闹得沸沸扬扬的，今天看到fastjson代码已经跟进到71版本了，所以对68和69版本的代码做了一下比对，看了一下修复代码，这里对68版本fastjson的RCE漏洞做一下原理以及利用场景的分析。

在个人信息保护越来越受到重视的当下，数据安全管控力度也不断加强，有关部门也对金融单位提出了更高的要求。

最近CVE-2020-1938炒的比较热闹，前几天比较忙，今天抽空跟了一下这个漏洞，时间线上肯定比别的大佬晚很多了，所以就选择从环境搭建开始写的详细一点，对这个漏洞多少还有一些困惑的同学可以赏脸看上两眼吧。

Nodejs的子进程创建如何获取客户端参数的代码写在了proccess.js中，我们关注下客户端参数解析以上

在讲这个漏洞之前我们来理解一下Javascript。与其他的语言不同的是，Js在Es6之前是没有class的，他更多的是一个原型语言，在Js里有一句话很有名——"一切皆对象"

用一行行代码为想要的世界投票，以期在漫长的时光之后，收到黑暗深处的回响。

跟踪的26家网安上市公司本周股价平均上涨4.5%，中位数上涨4.3%。

理论上推演可行且逻辑缜密，但现实中没有的事物。便放手去做。————Micropoor