We Want You!|平安银行研发安全专家招聘 Fintech安全之路 1 year 9 months ago 平安银行安全团队致力于保障亿万用户的信息安全,共建金融行业的安全生态环境。我们在这里,期待你的加入!
安全招聘|平安银行人才招募令! Fintech安全之路 3 years 5 months ago 这是一个牛人辈出且有爱的团队,有着一个够大且发展快速的平台,同时还可以提供一份不错的薪水!期待热爱安全,同时在安全领域有一技之长的你!
从SDLC到DevOps下的广义应用安全管控体系 Fintech安全之路 4 years 2 months ago 在新时期对更频繁、快捷、可靠以及智能的要求下,传统意义上的SDLC模式逐渐成为整个研发流程中的短板,企业安全需转变思维,建设在敏捷模式下的广义应用安全体系。
Jackson反序列化漏洞 Fintech安全之路 4 years 2 months ago 今天又看到有一些安全预警平台爆出的Jackson反序列漏洞,要求把Jackson升级到2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出poc。
通用组件安全治理三步走实践 Fintech安全之路 4 years 3 months ago 组件安全治理一直是备受关注的安全问题之一,对于企业安全建设来说,必须有一套从预警到整改的闭环方案。在此笔者想分享我们在组件安全治理上的实践,希望对大家有所帮助。
fastjson68版本绕过autotype原理及利用场景分析 Fintech安全之路 4 years 5 months ago fastjson 68版本前一阵子有些闹得沸沸扬扬的,今天看到fastjson代码已经跟进到71版本了,所以对68和69版本的代码做了一下比对,看了一下修复代码,这里对68版本fastjson的RCE漏洞做一下原理以及利用场景的分析。
被动式漏洞扫描平台建设之路 Fintech安全之路 4 years 6 months ago 传统的主动web扫描器面对大型企业成千上万站点的扫描需求时越来越显得捉襟见肘,被动扫描成为各个大厂扫描器的自研之路方向。为实现全行应用上线的自动化安全扫描,平安银行应用安全团队内部研发了命名为“ Hydra”的被动扫描平台。
Apache AJP 协议 CVE-2020-1938 漏洞分析 Fintech安全之路 4 years 9 months ago 最近CVE-2020-1938炒的比较热闹,前几天比较忙,今天抽空跟了一下这个漏洞,时间线上肯定比别的大佬晚很多了,所以就选择从环境搭建开始写的详细一点,对这个漏洞多少还有一些困惑的同学可以赏脸看上两眼吧。
我眼中的数据安全治理 Fintech安全之路 4 years 10 months ago 随着大数据时代的到来,带了很多的便利,但是也带来了更多的风险,作为一名安全行业工作者,对于这种变革更是体会深刻,笔者从事的是金融行业的安全工作,在此从数据安全工作落地的角度来聊一聊数据安全治理及具体工作中碰到的问题。
Struts2基于OGNL的RCE漏洞全解析 Fintech安全之路 5 years 1 month ago 最近两年ST2-OGNL方面的漏洞已经渐渐淡出大家的视线,但我觉得作为曾经红极一时的经典系列RCE漏洞,对于ST2和OGNL有一个深入的认知对于代码审计和漏洞挖掘者是十分重要的,
Javascript原型链攻击与防御 Fintech安全之路 5 years 1 month ago 在讲这个漏洞之前我们来理解一下Javascript。与其他的语言不同的是,Js在Es6之前是没有class的,他更多的是一个原型语言,在Js里有一句话很有名——"一切皆对象"
玩转ysoserial-CommonsCollection的七种利用方式分析 Fintech安全之路 5 years 2 months ago CommonsCollection在java反序列化的源流中已经存在了4年多了,关于其中的分析也是层出不穷,本文旨在整合分析一下ysoserial中CommonsCollection反序列化漏洞的多种利用手段,从中探讨一下漏洞的思路。