作者回复: 我理解的reverse_tcp应该是用来建立一个反弹shell的工具,跟具体的漏洞无关。
作者回复: 这是文件上传漏洞,可以对上传文件的类型和存储的位置做限制,基本可以修复。
作者回复: 是的,fastjson已经曝出过好几次反序列化漏洞了。
作者回复: 目前开源的RASP,我知道的只有百度的OpenRASP,不过似乎并没有支持.net。商业版本倒是会有宣称能够实现的。从原理上说,和Java的实现机制应该比较类似。
作者回复: 应该是跟所有漏洞风险都有关系,最小权限永远都是最佳实践~