相较于传统合约，智能合约不仅解决了信任问题，还承载着巨额数字资产交易。伴随着过去十年智能合约的爆发式增长，智能合约安全问题引发的各类安全事件层出不穷，据统计，目前因智能合约编码不当和安全漏洞造成的经济损失每年高达数十亿美元。因此，本文以以太坊智能合约为例，选取了一些常见合约安全漏洞，并结合过往发生的安全事件对其进行回顾分析，想以此来警醒各位读者，重视合约安全，避免漏洞“踩坑”。

查看详情

无图

pa paper.seebug.org / 2023-02-12 14:15

在 Adobe Reader 以及旧版本的 Foxit Reader 中，通常会利用 JS 的 ArrayBuffer 来布局内存并最终实现任意代码执行。然而，最新版本 Foxit Reader 中的 ArrayBuffer 已经被禁用，这导致漏洞利用的难度很大，目前还未见到网上有公开的漏洞利用方案。

这篇文章主要总结我在研究 Foxit Reader 漏洞利用的过程中积累的一些经验，从 Foxit Reader 的一套内存管理机制的角度出发，探索潜在的漏洞利用方式，为大家提供一些可能的思路。

查看详情

无图

pa paper.seebug.org / 2023-02-12 14:12

基于代码属性图的自动化漏洞挖掘实践

应用程序分析技术挖掘应用漏洞一直以来都是学术界和工业界的研究重点之一。从最初的正则匹配到最近的代码属性图挖掘方案，国内外有很多来自不同阶段的安全工具或商业产品来发掘程序代码的安全问题。在 Java 语言方面，业界已经有了不少出色的产品，如 CodeQL 等，但是，多数产品考虑的角度是从甲方视角或开源视角出发的，也就是产品的输入大部分是以源码为主。然而，我们安全研究人员更多面对地是编译后的项目，比如编译后的 WAR、第三方依赖 JAR 等形式。对于此类形式目标的漏洞挖掘，当前存在的审计产品或多或少都有一些限制，比如最近几年很火的 CodeQL 就无法直接处理此类形式的目标代码。当前，安全研究人员大多以人工或一些辅助工具来完成此类形式项目的漏洞挖掘。很明显，这种方式审计效率是非常低的，而且，审计结果也很容易遗漏。为此，需要一款能解决此类问题的工具。

查看详情

无图

bl blog.nsfocus.net / 2022-12-24 23:34

【公益译文】了解、预防、修复：开源漏洞讨论框架

开源软件的安全性引起了业界关注，这并不奇怪。在实施相关安全方案时，需要对过程中的挑战与合作达成共识。这个问题很复杂，涉及方方面面：供应链、依赖关系管理、身份和构建管道。问题捋清后，解决方案也就呼之欲出。为方便业界讨论开源软件中的漏洞以及首要着眼点，我们提出了一个框架（“了解、预防、修复”），内容包括：

• 元数据和身份标准共识：行业需要就解决这些复杂问题的基本原则达成共识。在元数据细节和身份方面统一看法后，将推动自动化，减少更新软件所需的工作量，并将漏洞的影响降至最低。

• 提高关键软件的透明度，加强对这些软件的审查：对于对安全至关重要的软件，我们需要就开发过程达成一致，确保充分审查，过程透明，避免单方面更改，最终产生语义清晰的可验证官方版本。

查看详情

无图

ip www.ipcpu.com / 2022-07-31 23:59

Docker镜像漏洞扫描工具Trivy

Trivy是一个简单易用并且全面的容器漏洞扫描程序。
Trivy可检测操作系统软件包（Alpine，RHEL，CentOS等）和应用程序依赖项（Bundler，Composer，npm，yarn等）的漏洞。
Trivy很容易使用，只要安装二进制文件，就可以扫描了。扫描只需指定容器的镜像名称。与其他镜像扫描工具相比，例如Clair，Anchore Engine，Quay相比，Trivy在准确性、方便性和对CI的支持等方面都有着明显的优势。

查看详情

无图

in insights.thoughtworks.cn / 2021-07-12 17:09

符号执行，从漏洞扫描到自动化生成测试用例

Thoughtworks安全团队正在积极探索符号执行在安全领域的威力，通过自动生成测试用例，再结合模糊测试（fuzz）工具，集成到DevOps的环境中，在整个软件的开发周期内持续的发现安全漏洞，为软件安全保驾护航。

查看详情

无图

mp mp.weixin.qq.com / 2021-05-16 16:34

Ubuntu被曝严重漏洞：切换系统语言+输入几行命令，就能获取root权限

这种攻击方法非常简单，Backhouse在官方博客中写道：“使用终端中的一些简单命令，并单击几次鼠标，标准用户就可以为自己创建一个管理员帐户。”

查看详情

无图

紧急公告，Sudo本地提权漏洞

赞过的人

发表评论

相关分享