聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士大语言模型 (LLMs) 安全厂商 Lasso Security 指出,软件开发人员使用 LLMs 为攻击者在开发环境中传播恶意包带来了比之前所认为的...
浅谈微信小程序测试技巧
声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。一、前言新...
NPM 注册表恶作剧导致开发人员无法取消发布程序包
因明显的恶作剧原因,自上周起NPM注册表用户无法取消发布任何公开包。 NPM 是由 GitHub 运行的开源 JavaScript 包仓库,托管着200多万个程序包,由1700多万名开发人员使用。12...
为什么开源软件供应链攻击在一年内增加了两倍
点击上方“蓝色字体”,选择 “设为星标” 关键讯息,D1时间送达! 在过去的一年里,恶意包被上传到公共组件注册中心的事件数量呈爆炸式增长,表明攻击者越来越喜欢这种初始访问策略。根据软件供应链管理公司S...
半数人工智能开源项目引用存在漏洞的软件包
根据EndorLabs的数据,开源在AI技术堆栈中发挥着越来越重要的作用,但大多数项目(52%)引用了存在已知漏洞的易受攻击的依赖项。EndorLabs在最新的《软件依赖管理状态报告》声称,在发布仅五...
深入探讨 MacOS 应用程序的渗透测试
网上有很多关于Windows和Linux渗透测试应用程序的指南和信息。不幸的是,在macOS中没有一个帮助我们完成渗透测试的指南。这意味着我们必须花费更多的时间在网络上搜索,并尝试不同的工具和技术,来...
NPM生态系统易受 Manifest 混淆攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士NPM 注册表易受 “manifest 混淆”攻击,破坏程序包的可信任性并可使攻击者在依赖中隐藏恶意软件或在安装过程中执行恶意脚本。NPM...
新型供应链攻击利用被弃的 S3 存储桶分发恶意二进制
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为...
恶意软件沙箱自动分析项目,配置/Payload/行为等详细技术分析:CAPE
####################免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开...
加密之仿佛加了又仿佛没加系列
“阿珍爱上了阿强,在一个有星星的夜晚”“所以这跟你写文章有啥关系”“噢,没有关系,我只是想唱一句。。。。哎哎哎别打脸,我说我说。。。。当你抓个包动不动就是密文乎脸,而你只能脸上笑嘻嘻,心里mmp的时候...
实战|微信小程序渗透技巧
微信小程序小程序测试流程分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。搜索目标小程序目标搜索不能仅...
反编译&调试小程序请求签名
点击蓝字关注我们声明本文作者:keac&catw0rld本文字数:2507字阅读时长:约10分钟附件/链接:点击查看原文下载本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载由于传播、利用...