<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    在源代碼中隱藏人眼看不見的漏洞

    安全俠2021-11-01 13:38:26

    劍橋大學的研究人員發表論文,介紹了在源代碼中隱藏人眼看不見的漏洞的攻擊方法。POC 攻擊代碼已發布在 GitHub 上。這種被稱為 Trojan-Source 的攻擊方法利用的是字符編碼標準 Unicode 中的微妙之處,利用方向覆蓋、同形異義等創造出對編譯器和人類代碼審查員視覺上存在差異的源代碼,人眼看不出漏洞,但對編譯器來說邏輯編碼順序和顯示的順序是不同的。這種攻擊方法對 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 都有效,研究人員已經將漏洞報告給了相關項目。

    漏洞源代碼
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    源代碼漏洞掃描 | SCodeScanner
    2023-07-24 10:22:14
    0x01 工具介紹SCodeScanner 代表源代碼掃描器,用戶可以在其中掃描源代碼以查找關鍵漏洞。此掃描程序的主要目標是在代碼發布到 Prod 之前找到源代碼中的漏洞。目前支持的最新漏洞有:CVE-2022-1465,CVE-2022-1474,CVE-2022-1527,CVE-2022-1532,CVE-2022-1604。
    源代碼漏洞掃描 -- SCodeScanner
    2023-05-26 10:10:37
    0x01 工具介紹SCodeScanner 代表源代碼掃描器,用戶可以在其中掃描源代碼以查找關鍵漏洞。此掃描程序的主要目標是在代碼發布到 Prod 之前找到源代碼中的漏洞。目前支持的最新漏洞有:CVE-2022-1465,CVE-2022-1474,CVE-2022-1527,CVE-2022-1532,CVE-2022-1604。
    軟件漏洞分析簡述
    2022-07-18 07:08:06
    然后電腦壞了,借了一臺win11的,湊合著用吧。第一處我們直接看一下他寫的waf. 邏輯比較簡單,利用正則,所有通過 GET 傳參得到的參數經過verify_str函數調用inject_check_sql函數進行參數檢查過濾,如果匹配黑名單,就退出。但是又有test_input函數進行限制。可以看到$web_urls會被放入數據庫語句執行,由于$web_urls獲取沒有經過過濾函數,所以可以
    基于圖神經網絡的源碼漏洞檢測方法研究
    2022-06-13 12:36:57
    針對現有的靜態代碼分析工具有較高的誤報率與漏報率,提出一種基于切片依賴圖(Slice Dependency Graph,SDG)的自動化漏洞檢測方法,將程序源代碼解析為包含數據依賴和控制依賴信息的切片依賴圖,然后使用圖神經網絡對切片依賴圖的結構進行表征學習,最后使用訓練的神經網絡模型預測待測程序源代碼中的漏洞。在 5 類常見缺陷分類(Common Weakness Enumeration,CWE)
    某 E-Office v9 任意文件上傳漏洞復現實戰
    2022-01-17 15:53:39
    由于傳播、利用此文所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,文章作者不為此承擔任何責任。 本文章中的漏洞均為公開的漏洞收集,如果文章中的漏洞出現敏感內容產生了部分影響,請及時聯系作者,望諒解。
    深度解析DARPA網絡安全漏洞發現計劃HARDEN
    2023-05-09 15:43:50
    具體來說,HARDEN將通過破壞攻擊者使用的持久的漏洞可利用模式,并剝奪攻擊者的“緊急執行引擎”,來防止其對集成系統的利用。HARDEN分析和工具將破壞UEFI架構所有抽象層上EE行為的可組合性,以防御最新的威脅并預測未來的威脅。SOSA是由空軍生命周期管理中心提出的,具有廣泛的行業參與其中。SOSA關注的重點領域是對傳感器系統的啟動過程進行建模和驗證,以確保系統在傳感器投入運行之前的完整性。
    DroidSkynet:一種分析早期版本App漏洞的工具
    2022-11-24 08:11:23
    Android 平臺的普及這導致開發商投入資源以維持需求的上升。較早版本的App可能會受到逆向工程和其他攻擊。在從現實世界收集的1500個主流應用中,DroidSkynet顯示攻擊使用早期版本的應用的成功率為34%。
    Google 修復 Android 中的關鍵遠程代碼執行漏洞
    2021-01-07 10:39:42
    Google發布了一個Android安全更新,解決了43個漏洞,其中包括一個跟蹤為CVE-2021-0316的Android系統組件中的關鍵遠程代碼執行漏洞。閱讀Google的1月Android安全公告:”“這些問題中最嚴重的是系統組件中的一個關鍵安全漏洞,該漏洞可能使遠程攻擊者使用特制的傳輸在特權進程的上下文中執行任意代碼。”該公告還修復了一個嚴重的DoS漏洞,名為為CVE-2021-0313,該漏洞會影響框架。上述漏洞影響Android版本、、9、10和11。這些漏洞源代碼補丁已發布到Android開放源項目存儲庫。
    國外開源軟件安全治理模式研究及工作建議
    2023-04-27 09:10:40
    本文在分析開源軟件安全風險的基礎上,對國外開源軟件安全治理模式進行研究,對我國開源軟件安全治理工作存在的不足展開反思,基于以上研究,就如何更好地保障我國開源軟件安全應用提出相關工作建議。
    撥開俄烏網絡戰迷霧,代碼倉庫測繪篇
    2022-03-22 14:05:23
    源代碼安全一直是網絡信息安全中至關重要的一環;對于一個網絡系統來說,源代碼就是其生命的化身,無論是前期的研發還是后期的運營,源代碼安全對于任何一個組織機構而言都有著舉足輕重的意義。 2022年2月24日,俄羅斯針對烏克蘭開展了特別軍事行動,在物理戰場之外,是以俄烏為主的多方勢力在網絡空間這個看不見硝煙的第二戰場上的激烈較量。下文將主要講述:1.在俄烏戰爭期間,我們發現的境外黑客組織攻擊源代碼倉庫
    安全俠
    暫無描述
      亚洲 欧美 自拍 唯美 另类