情报背景近期,Phylum检测到数十个新发布的Pypi软件包执行供应链攻击,在这些软件包中,通过隐藏的__import__将窃取程序投递到开发人员的机器上。攻击者利用代码审核者所使用IDE默认的不换行...
Atlassian Bitbucket Server and Data Center命令注入漏洞安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图...
ProxyNotShell Exchange 0day漏洞PoC
ProxyNotShell Exchange 0day漏洞PoC代码在线公开,已发现在野利用。ProxyNotShell Exchange漏洞是微软Exchange中的两个严重漏洞,CVE编号为CVE...
渗透测试实用手册
渗透测试实用手册1. SQL注入漏洞漏洞名称SQL注入漏洞漏洞地址漏洞等级高危漏洞描述SQL注入是开发者对用户输入的参数过滤不严格,通过把SQL命令插入到Web表单提交、输入域名或页面请求的...
Mastodon 用户易受密码窃取攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士一名研究员发现,最近逐渐流行起来的推特替代品Mastodon的一个分叉 Glitch 中存在一个漏洞,可导致攻击者窃取Mastodon 用...
F5 多款产品中存在多个RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全公司Rapid7表示,F5产品受多个漏洞和其它安全问题影响。Rapid7公司在8月中旬将研究成果告知F5,并在F5发布安全公告通知用户...
活跃四年的挖矿团伙:dhpcd
2018 年 4 月,dhpcd 挖矿团伙首次浮出水面,此后一直处于活跃状态。尽管被揭露,但该团伙仍然不断更新迭代加强潜伏能力。【整体概览】该团伙将文件命名与 Linux 上合法程序相似,例如负责 D...
增长超600%!企业该如何应对开源供应链攻击?
软件供应链管理公司Sonatype的最新报告显示,在过去一年中,涉及恶意第三方组件的供应链攻击增加了633%,这还只是记录在案的,目前已知的实例超过8.8万例。与此同时,供应链中软件组件传递漏洞的实例...
每个人都能看懂的网络攻防技术(通俗易懂版)
扫码领资料获网安教程免费&进群提示:文章同样适用于非专业的朋友们,全文通俗化表达,一定能找到你亲身经历过的网络攻击(建议大家认真看完,这篇文章会刷新你对网络攻防的认知)前言在世界人口近80亿的...
CISA力推防钓鱼MFA,专家指责是误导用户
近日,CISA发布推动防钓鱼MFA(多因素身份认证)的备忘录和实施指南,敦促机构和企业为所有用户和所有服务(包括电子邮件、文件共享和财务帐户访问)实施防钓鱼MFA。CISA在备忘录中指出有些MFA方式...
全面升级|ITDR-AD 2.1.0 正式发布!
对于大多数企业而言,基于身份的基础设施是扩展业务的核心功能。同时,身份已成为黑客的主要攻击目标,以 Active Directory 为首的身份基础设施漏洞和配置错误在大量的勒索软件攻击中发挥了至关重...
很多大厂都在用的开源开发平台Backstage上存在严重的RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Oxeye 公司的研究人员发现,攻击者可通过利用最近披露的第三方模块vm2中的沙箱逃逸漏洞(CVE-2022-36067,CVSS 10分...
261