5. Java反序列化漏洞

　　2018年的Java反序列化漏洞还在持续爆发，在知道创宇404实验室2018年应急的漏洞中，受此影响*严重的是WebLogic，该软件是美国Oracle公司出品的一个Application Server。2018年知道创宇404实验室应急了5个WebLogic的反序列化漏洞。由于Java反序列化漏洞可以实现执行任意命令的攻击效果，是黑客用来传播病毒，挖矿程序等恶意软件的攻击方法之一。

　　6. Drupal远程代码执行漏洞(Drupalgeddon2)

　　Drupal是使用PHP编写的开源内容管理框架，Drupal社区是全球*大的开源社区之一，全球有100万个网站正在使用Drupal，今年3月份，Drupal安全团队披露了一个非常关键的(21/25 NIST等级)漏洞，被称为Drupalgeddon 2(CVE-2018-7600)，此漏洞允许未经身份验证的攻击者进行远程命令执行操作。

　　7. 数据泄漏事件

　　2018年多起大型数据泄漏事件被曝光，2018年6月12日，知道创宇暗网雷达监控到国内某视频网站数据库在暗网出售。2018年8月28日，暗网雷达再次监控到国内某酒店开房数据在暗网出售。2018年11月30日，某公司发布公告称，旗下某酒店数据库遭入侵，*多约5亿客人信息被泄漏。2018年12月，一推特用户发文称国内超2亿用户的简历信息遭到泄漏。除此之外，facebook向第三方机构泄漏个人信息数据也引起了极大的关注。随着暗网用户的增多，黑市及加密数字货币的发展，暗网威胁必定会持续增长，知道创宇404安全研究团队会持续通过技术手段来测绘暗网，提供威胁情报，追踪和对抗来自暗网的威胁。

　　8. EOS平台远程命令执行漏洞

　　2018年5月末，360公司Vulcan(伏尔甘)团队发现EOS平台的一系列高危漏洞，部分漏洞可以在EOS节点上远程执行任意代码。这也就意味着攻击者可以利用这个漏洞直接控制和接管EOS上运行的所有节点。从漏洞危害等方面来说，称该漏洞为“史诗级”名副其实。

　　9. 多个区块链项目RPC接口安全问题

　　2018年3月20日，慢雾区和BLOCKCHAIN SECURITY LAB揭秘了以太坊黑色情人节事件(以太坊偷渡漏洞)相关攻击细节。2018年8月1日，知道创宇404实验室在前者的基础上结合蜜罐数据，补充了后偷渡时代多种利用以太坊RPC接口盗币的利用方式：离线攻击、重放攻击和爆破攻击。2018年08月20日，知道创宇404实验室再次补充了一种攻击形式：“拾荒攻击”。RPC接口并非以太坊独创，其在区块链项目中多有应用。2018年12月1日，腾讯安全联合实验室对NEO RPC接口安全问题提出预警。区块链项目RPC接口在方便交易的同时，也带来了极大的安全隐患。