- 综合排序
- 最热优先
- 最新优先
- 来自专栏小生观察室
软件供应链漏洞挖掘
image.png 视频内容 软件供应链漏洞挖掘 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。
79100发布于 2021-05-30 - 来自专栏火山信安实验室
【漏洞通报】DuckDB NPM包供应链投毒事件
漏洞情况近期,火山信安实验室监测发现,,DuckDB的Node.js和Wasm软件包在NPM供应链攻击中被植入恶意软件,攻击者通过劫持开发者账户发布恶意版本,利用供应链投毒手段在包中嵌入加密货币窃取后门 此次事件被追踪为CVE-2025-59037,属于高危供应链安全漏洞。 0x01漏洞利用方式攻击者通过精心策划的钓鱼邮件诱导开发者点击恶意链接,成功窃取其NPM账户控制权后,在受控账户下发布含恶意代码的DuckDB Node.js和Wasm包版本;当用户安装或运行这些受感染的包时 package.json和package-lock.json文件,确认是否引用了受影响版本的DuckDB启用NPM账户的双因素认证(2FA),防止账户被劫持引入AI异常行为检测和交易地址白名单验证,提升对供应链攻击的实时响应能力来源自
28610编辑于 2025-10-22 - 来自专栏Rust语言学习交流
【Rust日报】2023-10-10 使用 Cackle 抵御 Rust 供应链攻击
使用 Cackle 抵御 Rust 供应链攻击 Cackle 是一个代码 ACL 检查器,用于增加供应链攻击的难度。Cackle 通过 cackle.toml 进行配置。
33910编辑于 2023-10-18 - 来自专栏FreeBuf
通过 Realtek SDK 漏洞攻击一窥 IoT 供应链威胁
根据 Unit 42 的监测,大多数月份利用单个漏洞的攻击不会超过攻击总量的 10%。 但研究人员发现,2022 年 8 月至 2022 年 10 月间利用 Realtek Jungle SDK 远程代码执行漏洞(CVE-2021-35394)的攻击却占到了攻击总量的 40%。 漏洞概述 CVE-2021-35394 漏洞于 2021 年 8 月 16 日被公开披露,由于许多 IoT 设备厂商都使用 Realtek 芯片组,该远程命令执行漏洞是一个典型的供应链安全问题。 越南、俄罗斯、荷兰、法国、卢森堡和德国也名列前茅: 攻击来源分布 随时间变化的攻击趋势如下所示: 攻击趋势变化 2022 年 9 月与 10 月,攻击达到顶峰。 分析了所有的 Payload,出现频率最高的 URL 及其攻击源如下所示: URL 频度排名 结论 通过 CVE-2021-35394 的在野攻击情况可以看出,攻击者对供应链漏洞非常感兴趣。
2K10编辑于 2023-02-24 - 来自专栏火绒安全
2022-10微软漏洞通告
微软官方发布了2022年10月的安全更新。 本月更新公布了96个漏洞,包含39个特权提升漏洞、20个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、5个身份假冒漏洞以及2个安全功能绕过漏洞,其中13个漏洞级别为“Critical”(高危) 建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。 启用 Azure Arc 的 Kubernetes 集群连接特权提升漏洞CVE-2022-37968严重级别:高危 CVSS:10被利用级别:有可能被利用未经身份验证的攻击者可以利用此漏洞获得 Kubernetes 修复建议通过火绒个人版/企业版【漏洞修复】功能修复漏洞。
58330编辑于 2022-10-17 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 事实上,该漏洞在2022年10月首次出现便引起广泛关注,当时ConnectWise对其产品中漏洞的存在发出了警报,特别是ConnectWise Recover和R1Soft服务器备份管理器技术。 漏洞的历史 ConnectWise方面在10月迅速采取行动为产品打补丁,向ConnectWise服务器备份管理器(SBM)的云端和客户端实例推送了自动更新,并敦促R1Soft服务器备份管理器的客户立即升级到新的 他们推测,该漏洞有可能影响到比这更多的机器。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59410编辑于 2023-03-29 - 来自专栏FreeBuf
API安全Top 10 漏洞:crAPI漏洞靶场与解题思路
关于Caldera 又名“火山口”,是一款攻防自动化对抗框架。就不多介绍了,网上有很多介绍的文章,接下来从安装开始。 Caldera安装 包含一些我踩过的坑以及注意事项。注意:不支持windows。 官方github地址:https://github.com/mitre/caldera 需要golang环境和python环境。python版本尽量3.7,高版本容易报错。 语言环境弄好之后,按照其说明进行安装: git clone https://github.com/mitre/caldera
1.2K20编辑于 2023-03-29 - 来自专栏网络安全技术点滴分享
PyPI安全审计深度解析:代码库漏洞与供应链防护
我们对PyPI的审计 - Trail of Bits博客William Woodruff 2023年11月14日 开源, 供应链, 生态系统安全, 审计本文与PyPI维护者联合发布;请在此阅读他们的公告 的权限处理第三方服务集成(GitHub密钥扫描、PyPA咨询数据库、AWS SNS邮件传递、外部对象存储)发现虽非高危但可能影响Warehouse可用性、完整性或托管分发版完整性的问题,包括一个可泄露私有账户信息的漏洞 GitHub webhook事件处理及容器构建调度逻辑容器镜像构建与编排密钥处理和日志过滤用户界面表单和路由逻辑发现可能影响cabotage及其构建容器可用性/完整性的问题,包括两个可绕过访问控制或日志过滤的漏洞
28510编辑于 2025-08-21 - 来自专栏公共互联网反网络钓鱼(APCN)
ExifTool元数据解析漏洞机制与macOS供应链防御研究
摘要随着数字取证、新闻调查及企业资产管理系统对自动化文件处理流程依赖度的加深,元数据解析库的安全性已成为软件供应链中的关键薄弱环节。 关键词:ExifTool;CVE-2026-3102;元数据注入;远程代码执行;macOS安全;供应链攻击1. 引言在当代网络安全格局中,攻击面的边界正以前所未有的速度扩张。 这一发现不仅打破了“图片文件绝对安全”的认知误区,更揭示了软件供应链中潜藏的深层风险。 subprocess.run( cmd, capture_output=True, text=True, timeout=10 结论与展望CVE-2026-3102漏洞的披露,再次敲响了软件供应链安全的警钟。它揭示了在高度自动化的数字工作流中,看似无害的基础设施组件(如ExifTool)可能成为攻击者突破防线的跳板。
12910编辑于 2026-03-11 - 来自专栏网络安全技术点滴分享
CVE-2024-3094:XZ Utils供应链后门漏洞深度剖析
项目概述CVE-2024-3094是一个存在于XZ Utils数据压缩库中的关键供应链后门漏洞,CVSS v3.1评分为10.0(严重)。 该漏洞通过修改构建过程在liblzma库中植入了远程代码执行后门。 主要风险 未经授权的远程访问 → 完整系统被攻陷 功能特性根据提供的代码内容分析,该项目主要涉及以下安全分析功能:供应链攻击分析:详细解析恶意代码如何通过构建过程注入到开源项目中漏洞机制剖析 return 0;} 技术深度分析该漏洞展现了高度复杂的供应链攻击技术:长期潜伏:攻击者以受信任贡献者身份长期参与项目隐蔽植入:恶意代码仅存在于发布包而非源码仓库条件触发:后门仅在特定条件下激活,避免常规检测依赖链利用 :通过系统服务的间接依赖实现权限提升这个案例强调了开源供应链安全的重要性,以及需要多层防御策略来防止类似攻击。
27800编辑于 2025-12-25 - 来自专栏极安御信安全研究院
漏洞分析丨HEVD-10.TypeConfusing
作者selph前言窥探Ring0漏洞世界:类型混淆实验环境:•虚拟机:Windows 7 x86•物理机:Windows 10 x64•软件:IDA,Windbg,VS2022漏洞分析老样子,先IDA分析漏洞函数 漏洞利用利用思路就很简单了,传入对象后四字节给定shellcode地址即可:#include#include// Windows 7 SP1 x86 Offsets#define KTHREAD_OFFSET
39520编辑于 2022-08-05 - 来自专栏FreeBuf
TensorFlow机器学习框架曝严重漏洞,黑客可发起供应链攻击
在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。 Khan和John Stawinski在本周发布的一份报告中表示,这些配置错误可能被攻击者利用来“通过恶意拉取请求(pull request),在GitHub和PyPi上对TensorFlow版本实施供应链妥协 通过利用这些漏洞,攻击者可将恶意版本上传到GitHub仓库,并获得自托管GitHub运行器(runner)上的远程代码执行权限,甚至检索tensorflow-jenkins用户的GitHub个人访问令牌
59710编辑于 2024-01-20 - 来自专栏DevOps
制品可信 + 漏洞动态阻断,嘉为蓝鲸 CPack 护航软件供应链
官网原文(免费申请演示):CPack制品库:制品黑白名单,为软件供应链安全护航01.背景企业级应用中 90% 以上依赖开源组件,但开源生态存在漏洞、后门及协议风险;同时,在金融、电信等行业,需要遵从合规条例和安全法规 所以,在 DevOps 制品仓库管理平台中,制品黑白名单和漏洞黑白名单是保障软件供应链安全、控制风险的核心功能。
11900编辑于 2025-07-07 - 来自专栏FreeBuf
2023版漏洞评估工具Top10
前言 对于发现资产中已知漏洞、配置不当等问题的工具,大家习惯性称之为“漏洞扫描”工具,但随着技术演进,很多工具越来越智能,逐渐具备分析总结能力,因此将它们称为“漏洞评估”工具似乎更准确。 大多数漏洞评估工具都能覆盖常规漏洞,例如OWASP Top10,但一般都各有所长。常见的区分维度包括部署灵活性、扫描速度、扫描准确度以及与流程管理、代码开发等平台的整合性。 优 覆盖漏洞类型更广; 测试各类潜在漏洞; 不少测试显示Wapiti比其他开源工具(如ZAP)能检测到更多SQL注入和盲注漏洞。 而OpenVAS是Nessus的一个开源分支,功能丰富,漏洞来源广泛,可对传统端点和网络进行大规模的漏洞评估。 主要功能 发现系统的已知漏洞和缺失补丁; 具备web管理控制台; 可安装在任何本地或云服务器; 具备漏洞分析能力,输出如何修复漏洞或攻击者如何利用该漏洞等信息。
2.4K20编辑于 2023-02-24 - 来自专栏用户6726194的专栏
ERP软件使供应链自动化的10个理由
一个直接的答案是通过供应链自动化。 许多制造主管正在采取步骤,通过供应链自动化来提高生产率。供应链自动化可以加快产品和服务从供应商向客户转移的速度,同时降低成本并提高利润。 首席运营官实现供应链自动化的驱动力有多种。这些包括: 降低运营成本 供应链自动化有助于降低人工成本。它还可以减少与库存存储相关的库存,仓储和间接费用,包括租金,人工和能源成本。 节省时间 通过简化业务流程,供应链自动化可通过减少与执行诸如会计等劳动密集型任务相关的时间来节省时间。人工流程的减少可以为制造商节省大量时间和金钱。 降低运营成本 供应链自动化有助于降低人工成本。它还可以减少与库存存储相关的库存,仓库和间接费用,包括租金,人工和能源成本。
62200发布于 2019-12-28 时隔10年,三星再度进入苹果CIS供应链
10月3日消息,据韩国媒体dealsite.co.kr报道,业内消息显示,三星电子的CMOS图像传感器(CMOS Image Sensor,CIS)重返苹果供应链,并且苹果针对三星生产的CIS初始订单量已由原定的每月约 由于这是三星时隔十年再度进入苹果CIS 供应链,市场普遍解读为三星为符合iPhone 严格规格而采取更谨慎策略,预期最快需到明年底才会对三星营收带来实质的助力。
10910编辑于 2026-03-20- 来自专栏机器之心
漏洞预警,VMware远程代码执行漏洞的严重等级达到9.8(满分10)
机器之心报道 机器之心编辑部 2021 年 2 月 23 日,VMware 公司发布漏洞安全公告,VMware 多个组件存在远程代码执行、堆溢出漏洞和信息泄露漏洞的高危漏洞。 VMware 高危漏洞 黑客们正在大规模的扫描互联网,寻找 VMware 服务器的代码执行漏洞,该漏洞的严重等级为 9.8(满分 10)。 该漏洞的严重程度,再加上 Windows 和 Linux 机器都有可用的可利用漏洞,使得黑客们争先恐后地积极寻找易受攻击的服务器。 在通用漏洞评分系统(CVSS)3.0 版上,该漏洞的严重性得分为 9.8 分(满分为 10.0 分)。 虽然没有公布漏洞相关的细节,但 Citrix 发布的公告中仍然给出了该漏洞类型的一些线索。 ? CVE-2019-19781 漏洞存在于路径 / vpns / 中,因此这可能是一个目录遍历漏洞。
1.5K10发布于 2021-03-15 供应链数字化,必须掌握的10大管理系统
我在供应链领域摸爬滚打8年,从仓库管理员做到数字化项目负责人,太懂这种迷茫了。供应链数字化,说白了就是用系统把业务流程变成“数字版”,再靠数据帮我们做决策。 今天我就把供应链数字化里最该掌握的10个系统掰开了揉碎了讲:ERP、SCM、SRM、CRM、WMS、TMS、MES、APS、QMS、OMS,帮你跳出“系统越多越乱”的坑。 CRM(客户关系管理):把客户需求“翻译”给供应链CRM的核心是把客户的“模糊需求”变成供应链能执行的“明确指令”,反过来推动供应链优化。 异常响应也要及时:设置“设备停机超过10分钟自动报警”“合格率低于95%自动停线”等规则,快速找到问题、解决问题。8. 六、下游执行层订单履约是供应链的“最后一公里”,能不能让客户满意、有没有好口碑,OMS起着关键作用。10.
1.6K10编辑于 2025-08-18- 来自专栏安恒信息
策略升级 | 快速发现OWASP TOP 10 2017漏洞
OWASP(开源Web应用安全项目)于2017年11月22正式发布OWASP Top 10 2017最终版本,作为全球网络安全500强, 云安全、应用安全、大数据安全产品与服务、态势感知大数据中心及智慧城市云安全运营整体解决方案提供商 图:安恒明鉴系列扫描产品支持OWASP TOP 10 - 2017 在信息安全研究团队和产品研发团队的努力下, 漏洞扫描产品安全策略按照OWASP TOP 10 2017更新了漏洞模板, 最后,请使用安恒信息明鉴Web应用弱点扫描器、明鉴远程安全评估系统、明鉴网站安全监测平台的客户, 通过更新产品策略的方式完成OWASP TOP 10 2017漏洞模板的支持,并进行完整的漏洞扫描评估, OWASP项目最具权威的就是其”十大安全漏洞列表”。该列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。 ?
1.4K80发布于 2018-04-10 - 来自专栏玄魂工作室
CTF实战10 CSRF跨站请求伪造漏洞
该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关
3.3K50发布于 2018-07-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号