聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士近六个月来,某未知威胁行动者正在向 PyPI 仓库发布typosquat 包,意在传播能够获得持久性、窃取敏感数据并访问密币钱包意获得经济...
G.O.S.S.I.P 阅读推荐 2023-05-12
一转眼,汶川大地震过去15年了,你可还记得对当年很多“豆腐渣”校舍的问责?我们今天要关注的是互联网世界上的JavaScript代码,从2023年WWW会议上选择一篇论文 The More T...
15个使用率超高的Python库,下载量均过亿
点击上方“萝卜大杂烩”,选择“星标”公众号超级无敌干货,第一时间送达!!!来源:https://zhuanlan.zhihu.com/p/625638001今天给大家分享最近一年内PyPI上下载量最高...
2023年最危险的新型恶意软件威胁Top 10
恶意软件是指那些能够危害计算机设备功能、窃取数据、监视用户并造成混乱的破坏性软件程序,具体可细分为间谍软件、勒索软件、病毒程序、僵尸网络、恶意广告、键盘记录程序和木马软件等。这些恶意软件通常会通过易受...
数百个Docker容器镜像中隐藏漏洞,下载量高达数十亿次
Rezilion发现了数百个Docker容器镜像的存在,这些镜像包含了大多数标准漏洞扫描器和SCA工具都没有检测到的漏洞。研究发现,数百个Docker容器镜像中隐藏着许多高危险性/关键性的漏洞,这些容...
APP漏洞挖掘
过完阴雨绵绵的十一国庆,才知道自己有APP漏洞挖掘任务,10月就剩下18个工作日,除去做项目、一些其他的工作,挖洞的时间只剩一周多,看来又要熬夜了,任务艰巨呐~从开始的迷茫、啥思路也没有,甚至两三天从...
APP漏洞挖掘之某下载量超101万的APP有几个漏洞可以GetShell?
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈离等目的,否则后果自行承担!前言过完阴雨绵绵的十一国庆,接到...
APP漏洞挖掘(一)某下载量超101万的APP有几个漏洞可以GetShell?
过完阴雨绵绵的十一国庆,才知道自己有APP漏洞挖掘任务,10月就剩下18个工作日,除去做项目、一些其他的工作,挖洞的时间只剩一周多,看来又要熬夜了,任务艰巨呐~从开始的迷茫、啥思路也没有,甚至两三天从...
增长超600%!企业该如何应对开源供应链攻击?
软件供应链管理公司Sonatype的最新报告显示,在过去一年中,涉及恶意第三方组件的供应链攻击增加了633%,这还只是记录在案的,目前已知的实例超过8.8万例。与此同时,供应链中软件组件传递漏洞的实例...
JavaScript沙箱vm2修复远程代码执行风险
vm2(一种流行的JavaScript沙盒环境)中的一个错误可能允许恶意行为者绕过沙盒保护并在主机设备上进行远程代码执行(RCE)。Vm2每周的下载量超过400万次,它在Node.js服务器中创建了一...
JavaScript 沙箱 vm2修复远程代码执行漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士热门的 JavaScript 沙箱环境 vm2 中存在一个bug,可导致恶意人员绕过沙箱防火措施并在主机设备上发动远程代码执行攻击。Vm2...
多款Play Store应用程序分发恶意软件
近期,研究人员发现数十个应用程序通过虚拟市场传播 Joker、Facestealer 和 Coper 等恶意软件。据 The Hacker News 网站披露,Google 已从官方 Play 商店中...