Part1 前言 最近感染了新冠,大病初愈,没有气力写复杂的文章了,就抽空把《代码审计工具系列教程》写完吧,前面几期介绍了商用代码审计工具Fortify、Checkmarx、Co...
【天问】Node.CuteBoi:大规模供应链挖矿攻击持续追踪
引言2022年5月至7月,npm生态中发生了一起大规模供应链挖矿软件投毒的事件,攻击者在这两个月内上传了2,500多个含挖矿程序的npm包。攻击者实现了npm账号注册和包发布流程的完全自动化,同时也绕...
研究发现,攻击者利用伪造时间戳等方式在GitHub上传播恶意代码
当开发人员在GitHub上寻找开源项目时,会习惯对其元数据进行检查,但研究发现,这些元数据很容易被伪造,并以此用来传播恶意代码。Checkmarx 的研究人员在一份新报告中警告说,开发人员在查看元数据...
供应链攻击技术欺骗 GitHub 提交元数据
据国外网络安全网站Securityweek报道,Checkmarx 的安全研究人员警告说,一种新的供应链攻击技术依赖欺骗的提交元数据来增加恶意 GitHub 存储库的合法性。开源软件可帮助开发人员更快...
Amazon Photos安全漏洞
Amazon Photos爆安全漏洞,Amazon确认已修复。Checkmarx研究人员发现由于Amazon Photos APP中一个组件的错误配置引发了一个安全漏洞,使得manifest文件可以在...
亚马逊曝严重漏洞,可直接访问相册
关键词亚马逊、漏洞近期,Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞,如果该漏洞被行为威胁者利用的话,就可能导致被安装在手机上的恶意应用程序窃...
Zenly社交应用程序漏洞可暴露用户敏感信息
Zenly是Snap公司的一款社交应用程序,它可以使用户在地图上实时看到朋友和家人的位置,但是它包含了一对漏洞,该漏洞可能会对被追踪者造成危害。据Checkmarx安全研究小组称,这些漏洞分别是一个用...
九个顶级的SAST和DAST工具
文章来源:GoUpSec应用安全测试工具市场已经进入成熟期,本文将介绍9个国外顶级的SAST和DAST工具。近年来,随着SolarWinds为代表的软件供应链安全威胁的持续增长,企业对应用安全和开发安...
Checkmarx+Fortify_SCA虚拟机打包分享
Checkmarx+Fortify_SCA虚拟机打包分享 概述 近日见蛮多师傅需要Fortify SCA这些代计工具,刚好去年存有(年底好像)利刃群里一大佬打包安装好的虚拟机,就拿出来分享给大家伙,同...
投放800个恶意NPM包!黑客发动大规模供应链攻击
关注我们带你读懂网络安全软件供应链攻击的频率和规模正在不断升级。近日,一个被代号“RED-LILI”的黑客发动了针对NPM存储库的大规模供应链攻击,一口气发布近800个恶意NPM包。“通常,攻击者使用...
代码审计入门
1、常见的代码审计工具1、Fortify SCA2、Checkmarx CxSuite3、360代码卫士4、PHP代码审计工具——Rips参考:https://www.jianshu.com/p/cd...
代码审计系列第一节
主要给大家介绍几款,代码审计常用到的工具,来进行辅助分析和代码挖掘。首先我们介绍的是第一款。我们采用的是window集成环境,对于php集成环境,大家可以自行选择,我这里演示只给大家演示wamp。网上...
3