XposedXposed适合安卓5和安卓7(推荐夜神的应用商店下载安装)安卓高版本抓包模拟器里打开微信小程序如果太卡,推荐直接电脑版的微信小程序抓包,设置全局代理。安卓模拟器抓包解决 Android高...
10月13日46 views评论adb
反编译
安卓模拟器抓包相关
10月13日46 views评论adb
反编译
10月13日46 views评论adb
反编译
将进程注入引入视图:利用所有使用 nib 文件的 macOS 应用程序
在之前的一篇博文中,我们描述了一个影响所有基于 AppKit 的 macOS 应用程序的进程注入漏洞。这项研究在Black Hat USA 2022、DEF CON 30和Objective by t...
10月06日38 views评论macos
进程注入
朝鲜黑客利用恶意npm包攻击开发者
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Phylum 公司提到,和朝鲜存在关联的威胁行动者在npm注册表中发布恶意包,以“协同方式、坚持不懈地”通过恶意软件感染开发人员并窃取密币资产。这起事...
09月26日88 views评论javascript
奇安信
新型供应链攻击手法 — Revival Hijack
JFrog 的网络安全研究人员发现了一种名为“Revival Hijack”的新型 PyPI 攻击技术,该技术利用包删除策略绕过安全检查。据统计,超过 22,000 个程序包处于风险之中,可能会影响数...
09月22日33 views评论供应链攻击
软件包
Google Cloud 依赖混淆漏洞影响数百万台服务器
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Tenable 公司分享了一种依赖混淆攻击方法,本可将 Google Cloud Platform (GCP) 客户暴露到远程代码执行攻击中。该问题被...
09月19日49 views评论tenable
注册表
恶意 PyPI 包伪装成答案,滥用StackExchange 进行传播
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士威胁行动者将恶意 Python 包上传至 PyPI 仓库,并通过在线问答平台 StackExchange 推广。这些Python 恶意包为 “spl-...
08月02日9 views评论奇安信
恶意软件
NuGet供应链攻击中出现60个新恶意包
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士威胁行动者们正在向 NuGet 程序包管理器发布新一轮恶意包,延续2023年8月开始的攻击活动,同时提升了躲避检测的隐蔽性。ReversingLabs...
07月12日12 views评论供应链攻击
奇安信
小程序解密反编译获取源码实现RCE
01文章前言 小程序除了抓包测试功能外,我们可以尝试解密并反编译,最后获取其源代码包,从中查看其源代码文件,运气好的话我们可以获取到其配置信息,以此深度控制小程序。 当然,也可能是另外一种...
05月18日16 views评论rce
反编译
普遍存在的LLM幻觉扩大了软件开发的攻击面
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士大语言模型 (LLMs) 安全厂商 Lasso Security 指出,软件开发人员使用 LLMs 为攻击者在开发环境中传播恶意包带来了比之前所认为的...
04月02日29 views评论llm
攻击面
浅谈微信小程序测试技巧
声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。一、前言新...
02月20日54 views评论burpsuite
小程序
NPM 注册表恶作剧导致开发人员无法取消发布程序包
因明显的恶作剧原因,自上周起NPM注册表用户无法取消发布任何公开包。 NPM 是由 GitHub 运行的开源 JavaScript 包仓库,托管着200多万个程序包,由1700多万名开发人员使用。12...
01月05日安全新闻37 views评论注册表
程序包
为什么开源软件供应链攻击在一年内增加了两倍
点击上方“蓝色字体”,选择 “设为星标” 关键讯息,D1时间送达! 在过去的一年里,恶意包被上传到公共组件注册中心的事件数量呈爆炸式增长,表明攻击者越来越喜欢这种初始访问策略。根据软件供应链管理公司S...
10月09日25 views评论供应链攻击
开源
5