摘要：前期需要明白的几个基本概念：** · 风险是基于对组织机构构成的威胁。 · 威胁关注的是有价值的资源。 1. 什么是威胁建模 威胁建模是一种结构化方法，用来识别、量化并应对威胁。威胁建模允许系统安全人员传达安全漏洞的破坏力，并按轻重缓急实施补救措施。 1.1 威胁建模主要包括三大主要元素： 资产：应 阅读全文

摘要：https://www.freebuf.com/articles/web/136729.html 阅读全文

摘要：漏洞成因： Fastjson提供了autotype功能，允许用户在反序列化数据中通过“@type”指定反序列化的类型，其次，Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法， 那么当组件开启了autotype功能并且反序列化不可信数据时，攻击者可以构造数据 阅读全文

该文被密码保护。