- 综合排序
- 最热优先
- 最新优先
- 来自专栏小生观察室
软件供应链漏洞挖掘
image.png 视频内容 软件供应链漏洞挖掘 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。 链接地址:https://v.qq.com/x/page/v3249lp5rap.html 如果腾讯视频访问出现异常或页面不存在等,可以访问国外Youtube 站点进行观看。
79100发布于 2021-05-30 - 来自专栏火山信安实验室
【漏洞通报】DuckDB NPM包供应链投毒事件
漏洞情况近期,火山信安实验室监测发现,,DuckDB的Node.js和Wasm软件包在NPM供应链攻击中被植入恶意软件,攻击者通过劫持开发者账户发布恶意版本,利用供应链投毒手段在包中嵌入加密货币窃取后门 此次事件被追踪为CVE-2025-59037,属于高危供应链安全漏洞。 0x01漏洞利用方式攻击者通过精心策划的钓鱼邮件诱导开发者点击恶意链接,成功窃取其NPM账户控制权后,在受控账户下发布含恶意代码的DuckDB Node.js和Wasm包版本;当用户安装或运行这些受感染的包时 package.json和package-lock.json文件,确认是否引用了受影响版本的DuckDB启用NPM账户的双因素认证(2FA),防止账户被劫持引入AI异常行为检测和交易地址白名单验证,提升对供应链攻击的实时响应能力来源自
28610编辑于 2025-10-22 - 来自专栏工业科技1
工业互联网的供应链创新——供应链+5G 技术
5G 技术作为新一代无线网络技术,具备大带宽、低时延和海量联接的特点,结合人工智能、大数据等技术,可以为供应链带来突飞猛进的发展,当前已经在智能物流园区、自动驾驶、车路协同、物流追踪可视化、智能工厂、智能仓储等应用场景产生了众多创新 ,推动传统供应链转型升级。 供应链+5G 技术的应用 • 5G+智能物流的应用价值:5G+云化部署、多车有序协同、助力柔性生产、保障安全生产 • 5G+协同制造的应用价值:5G+MEC 替代传统工业 WiFi 和工业以太网;采用连接 通过5G+AR 技术,对设备的运行、点检巡检进行作业指导,提供流程化服务。 相比传统供应链,基于工业互联网的供应链具有连接、智能、灵活、迅捷、协同等属性。 在设计、计划、采购、制造、运输、协同等供应链主要环节,基于工业互联网的供应链和传统供应链具有显著差异。
95020发布于 2021-08-11 - 来自专栏世荣的博客
搭建漏洞环境-实战-5
sqli-labs是一款学习SQL注入的开源学习平台,共有75种不同类型的注入,这里我也准备好了资源,这里挂在博客里(链接要是挂了跟我说,随时补上)
40930编辑于 2022-03-18 - 来自专栏FreeBuf
通过 Realtek SDK 漏洞攻击一窥 IoT 供应链威胁
根据 Unit 42 的监测,大多数月份利用单个漏洞的攻击不会超过攻击总量的 10%。 由于 CVE-2021-35394 漏洞影响来自 66 个不同厂商的近 190 种型号的设备,攻击者就利用该漏洞在全球范围内对智能设备进行大规模攻击。 漏洞概述 CVE-2021-35394 漏洞于 2021 年 8 月 16 日被公开披露,由于许多 IoT 设备厂商都使用 Realtek 芯片组,该远程命令执行漏洞是一个典型的供应链安全问题。 分析了所有的 Payload,出现频率最高的 URL 及其攻击源如下所示: URL 频度排名 结论 通过 CVE-2021-35394 的在野攻击情况可以看出,攻击者对供应链漏洞非常感兴趣。 由于普通用户非常难以识别和修复这些漏洞,造成影响面非常广。
2K10编辑于 2023-02-24 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 总部位于德国的安全厂商Code White GmbH的一名研究人员率先发现了CVE-2022-36537,并在2022年5月向ZK Java Web框架的维护者报告。 当该公司在90天内没有回应时,研究人员在Twitter上公布了一些关于如何利用该漏洞的细节,Huntress的研究人员利用这些细节复制了该漏洞并完善了一个概念验证(PoC)漏洞。 他们推测,该漏洞有可能影响到比这更多的机器。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59410编辑于 2023-03-29 - 来自专栏网络安全技术点滴分享
PyPI安全审计深度解析:代码库漏洞与供应链防护
我们对PyPI的审计 - Trail of Bits博客William Woodruff 2023年11月14日 开源, 供应链, 生态系统安全, 审计本文与PyPI维护者联合发布;请在此阅读他们的公告 的权限处理第三方服务集成(GitHub密钥扫描、PyPA咨询数据库、AWS SNS邮件传递、外部对象存储)发现虽非高危但可能影响Warehouse可用性、完整性或托管分发版完整性的问题,包括一个可泄露私有账户信息的漏洞 重点发现:TOB-PYPI-2:弱签名验证可能允许攻击者操纵PyPI的AWS SNS集成TOB-PYPI-5:攻击者可利用上传端点信息泄露进行账户有效性侦察TOB-PYPI-14:弱加密哈希可能导致对象存储服务的缓存污染评估显示 GitHub webhook事件处理及容器构建调度逻辑容器镜像构建与编排密钥处理和日志过滤用户界面表单和路由逻辑发现可能影响cabotage及其构建容器可用性/完整性的问题,包括两个可绕过访问控制或日志过滤的漏洞
28510编辑于 2025-08-21 - 来自专栏公共互联网反网络钓鱼(APCN)
ExifTool元数据解析漏洞机制与macOS供应链防御研究
摘要随着数字取证、新闻调查及企业资产管理系统对自动化文件处理流程依赖度的加深,元数据解析库的安全性已成为软件供应链中的关键薄弱环节。 关键词:ExifTool;CVE-2026-3102;元数据注入;远程代码执行;macOS安全;供应链攻击1. 引言在当代网络安全格局中,攻击面的边界正以前所未有的速度扩张。 这一发现不仅打破了“图片文件绝对安全”的认知误区,更揭示了软件供应链中潜藏的深层风险。 然而,正如注释所言,如果ExifTool内部存在解析漏洞(如CVE-2026-3102),外部的参数传递方式无法完全阻止内部逻辑的错误执行。因此,代码防御必须与软件更新和沙箱隔离相结合。5. 结论与展望CVE-2026-3102漏洞的披露,再次敲响了软件供应链安全的警钟。它揭示了在高度自动化的数字工作流中,看似无害的基础设施组件(如ExifTool)可能成为攻击者突破防线的跳板。
12910编辑于 2026-03-11 - 来自专栏网络安全技术点滴分享
CVE-2024-3094:XZ Utils供应链后门漏洞深度剖析
项目概述CVE-2024-3094是一个存在于XZ Utils数据压缩库中的关键供应链后门漏洞,CVSS v3.1评分为10.0(严重)。 该漏洞通过修改构建过程在liblzma库中植入了远程代码执行后门。 主要风险 未经授权的远程访问 → 完整系统被攻陷 功能特性根据提供的代码内容分析,该项目主要涉及以下安全分析功能:供应链攻击分析:详细解析恶意代码如何通过构建过程注入到开源项目中漏洞机制剖析 -f "tests/files/bad-3-corrupt_lzma2.xz"; then # 提取并编译恶意代码 extract_and_compile_malicious_codefi5. return 0;} 技术深度分析该漏洞展现了高度复杂的供应链攻击技术:长期潜伏:攻击者以受信任贡献者身份长期参与项目隐蔽植入:恶意代码仅存在于发布包而非源码仓库条件触发:后门仅在特定条件下激活,避免常规检测依赖链利用
27800编辑于 2025-12-25 - 来自专栏用户8925857的专栏
供应链状态更新与5G的影响
另一个支撑市场的因素是5G技术的推出。华为在这方面处于世界领先地位,原本预计会在今年第二季度末发布5G技术,但事实上并没有发生。 用户将不得不重新设计那些零部件,否则他们将经历交货期过长和高昂的价格,而这正是由5G基础设施造成的。 我们关注5G技术,因为5G一旦启动,它首先会从中国开始,然后是欧洲和美国,全世界的电信公司都将更换基础设施。紧接着,每个人,包括我自己,都会换新手机,这样我们就能获得这项全新的、出色的技术。 Johnson: 我记得,你提到一些与过去不一样的事情,例如,将在中国率先推出5G。在过去,这类产品往往在欧洲率先推出。 这也导致华为5G的延期,而我认为这正是华为没有按计划推出5G的部分原因。同样的情况也发生在安卓系统上;华为被迫开发自己的系统。目前,我们从供应商那里得到的消息是,5G将在中国率先推出,紧接着是欧洲。
75530编辑于 2022-09-27 - 来自专栏FreeBuf
TensorFlow机器学习框架曝严重漏洞,黑客可发起供应链攻击
在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。 Khan和John Stawinski在本周发布的一份报告中表示,这些配置错误可能被攻击者利用来“通过恶意拉取请求(pull request),在GitHub和PyPi上对TensorFlow版本实施供应链妥协 通过利用这些漏洞,攻击者可将恶意版本上传到GitHub仓库,并获得自托管GitHub运行器(runner)上的远程代码执行权限,甚至检索tensorflow-jenkins用户的GitHub个人访问令牌
59710编辑于 2024-01-20 - 来自专栏数商云网络
供应链平台5个层次解析:原始-初级-整合-智慧
分别是原始供应链、初级供应链、整合供应链、协同供应链和智慧供应链: 驱动原始供应链升级到初级供应链的核心,是专业化的职能分工 驱动初级供应链升级到整合供应链的核心,是跨部门的流程构建 驱动整合供应链升级到协同供应链的核心 ,是供应链上的领导力 驱动协同供应链升级到智慧供应链的核心,是新技术的应用能力 一、原始供应链 并不仅仅出现在原始社会 供应链是什么时候出现的,恐怕要追溯到远古时代了。 二、初级供应链 “吵架”是最重要的生存技能 “初级供应链管理形态”简称“初级供应链”。 三、整合供应链 糖葫芦得串起来吃 “整合级供应链管理形态”简称“整合供应链”。 我们可以总结如下: 驱动原始供应链升级到初级供应链的核心,是专业化的职能分工 驱动初级供应链升级到整合供应链的核心,是跨部门的流程构建 驱动整合供应链升级到协同供应链的核心,是供应链上的领导力 驱动协同供应链升级到智慧供应链的核心
3.3K31发布于 2020-03-20 - 来自专栏洛米唯熊
Laravel 5 报错信息存在严重漏洞
Laravel是一套简洁、优雅的PHPweb开发程序框架,并且具有简洁的表达,是一个比较容易理解且强大的,它提供了强大的工具用以开发大型网站的应用。
2.8K30发布于 2021-08-24 - 来自专栏DevOps
制品可信 + 漏洞动态阻断,嘉为蓝鲸 CPack 护航软件供应链
官网原文(免费申请演示):CPack制品库:制品黑白名单,为软件供应链安全护航01.背景企业级应用中 90% 以上依赖开源组件,但开源生态存在漏洞、后门及协议风险;同时,在金融、电信等行业,需要遵从合规条例和安全法规 所以,在 DevOps 制品仓库管理平台中,制品黑白名单和漏洞黑白名单是保障软件供应链安全、控制风险的核心功能。
11900编辑于 2025-07-07 - 来自专栏开心分享-技术交流
ThinkPHP5远程命令执行漏洞
漏洞描述 Thinphp团队在实现框架中的核心类Requests的method方法实现了表单请求类型伪装,默认为$_POST[‘_method’]变量,却没有对$_POST[‘_method’]属性进行严格校验 漏洞危害 在未经授权的情况下远程攻击者构造特殊的请求可以在PHP上下文环境中执行任意系统命令,甚至完全控制网站,造成数据泄露,网站内容被修改。 影响范围 受影响版本:ThinkPHP 5.0.x 不受影响版本:ThinkPHP 5.0.24 漏洞分析 本次更新的关键commit如下: ? 漏洞复现 通过git 可以快速搭建环境 git clone https://github.com/top-think/think git checkout v5.0.23 cd think git clone system&server[REQUEST_METHOD]=whoami 在早期5.0的版本过滤器的调用有差别payload也会不同 修复方案 1.升级到5.0.24版本 2.或通过修改以下代码来缓解漏洞
1.2K20发布于 2020-08-10 - 来自专栏绿盟科技安全情报
【漏洞通告】F5 BIG-IPBIG-IQ 多个严重漏洞
应急等级 蓝色 版本: 1.0 1 漏洞概述 3月11日,绿盟科技监测到F5官方发布安全通告,修复了影响F5的BIG-IP和BIG-IQ的多个高危漏洞(CVE-2021-22986,CVE-2021- 参考链接: https://support.f5.com/csp/article/K02566623 SEE MORE → 2重点漏洞描述 iControl REST远程命令执行漏洞(CVE-2021 官方通告链接: https://support.f5.com/csp/article/K03009991 流量管理用户界面(TMUI)远程命令执行漏洞(CVE-2021-22987): 当以设备模式运行时 官方通告链接: https://support.f5.com/csp/article/K18132488 TMUI远程命令执行漏洞(CVE-2021-22988): 经过身份验证的攻击者使用控制界面利用此漏洞 5漏洞防护 5.1 官方升级 目前F5官方已在最新版本中修复了以上漏洞,请受影响的用户尽快升级至对应版本进行防护,官方下载链接: BIG-IP:https://support.f5.com/csp
1.2K10发布于 2021-03-18 走进“乌云”教科书书里的漏洞(5)【刷优惠卷漏洞】
0x01 漏洞解析发包多次获得优惠券漏洞是营销活动中常见的业务逻辑漏洞,主要因系统未对优惠券领取请求进行有效限制,导致攻击者通过重复发送请求(即 "重复发包")绕过领取规则,获取远超正常数量的优惠券,进而利用这些优惠券进行不正当消费 具体表现与危害:漏洞成因:系统在设计优惠券领取功能时,未对用户的领取次数、领取频率进行严格限制,或仅在前端进行限制而未在后端实现校验逻辑。 下图为乌云找到的漏洞。0x03 漏洞复现本次使用靶场连接:http://www.loveli.com.cn:12531/see_bug_one? 浏览器打开靶场连接,可以看到一个优惠卷领取页面点击立即领取,可以领取优惠卷,且已经领取过后的优惠卷无法再进行领取点击我的优惠券,可以查看已经领取的优惠卷=获取领取优惠卷的数据包对数据包进行重放,找到fl0x04 漏洞修复方法严格的领取规则与后端校验明确领取限制条件
36810编辑于 2025-09-01- 来自专栏绿盟科技安全情报
【漏洞通告】微软5月安全更新多个产品高危漏洞通告
版本:1.0 1 漏洞概述 北京时间5月13日,微软发布5月安全更新补丁,修复了111个安全问题,涉及Microsoft Windows、Internet Explorer、Microsoft Edge 本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有16个,重要(Important)漏洞有95个。 其中Win32k 特权提升(CVE-2020-1054)漏洞的PoC已公开,请相关用户及时更新补丁进行防护,详细漏洞列表请参考附录。 根据产品流行度和漏洞重要性筛选出此次更新中包含影响较大的漏洞,请相关用户重点进行关注: CVE-2020-1054(PoC已公开)/CVE-2020-1143:Win32k 特权提升漏洞 由于Windows 攻击者可通过诱导用户打开特制文件来利用此漏洞,成功利用此漏洞的攻击者可在目标系统上执行任意代码。
1.4K20发布于 2020-05-25 - 来自专栏SDNLAB
Edge Computing遇到5G:重新思考智能供应链
现在,随着5G网络的兴起,边缘计算有望再次获得成功。网络的改变使专有网络更易于访问,为小型制造商扩展供应链带来新的可能性。 ? 近边缘与远边缘 ? 实际上,in-transit的用例很快成为供应链中工业物联网(IIoT)部署的关键领域。 5G的影响 ? 优化供应链和连通性对充分发挥边缘计算的潜力至关重要。 那么5G将如何改变供应链的价值方程?一个巨大潜力的领域是in-transit应用。能够在供应链的各个阶段实时收集和分析数据,具有提高入站和出站运输效率的巨大潜力。 通过这种方式,边缘计算和5G网络可以弥合供应链中的一个最大的差距——生产者和消费者之间的分离。营销网络越复杂,制造商就越难以评估消费者的需求。 具有集成5G连接功能的类似设备边缘平台的出现使得规模较小,技术较少的复杂供应商变得简单且经济高效,从而创建真正智能的端到端供应链。
69440发布于 2019-05-07 - 来自专栏TeamsSix的网络空间安全专栏
漏洞复现 | Thinkphp5.x远程代码执行漏洞了解一哈
0、序 晚上闲来无事,复习不想复习,看书看不进去,打开电脑也不知道要干啥,索性就找个漏洞玩吧,下午正好注册了一个在线靶场环境,其中有个Think PHP5.0吸引了我,因为在12月9号这个漏洞爆出来的时候当时一度尝试复现这个漏洞都没有成功 利用Google Hacking很轻松便可以找到一些使用ThinkPHP框架的网站,但并不是每个都存在这个远程命令执行的漏洞,在找寻验证了一番后终于找到了一个,哈哈。 2、POC验证 对目标执行下面POC如果出现phpinfo页面便可以说明存在漏洞了,不过还需要根据目标情况来判断使用哪个POC,反正多尝试几个,下面的POC是我尝试成功的一个。 3、写入木马 确定存在漏洞后便可以对其写入一句话啦,下面的POC可以在目标系统网站根目录下写入内容为<?php eval($_POST[test]);? 5、远程登陆 利用自己创建的用户名对其远程登陆,就像下面这样: ? ?
1.6K10发布于 2019-09-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号