相较于传统合约，智能合约不仅解决了信任问题，还承载着巨额数字资产交易。伴随着过去十年智能合约的爆发式增长，智能合约安全问题引发的各类安全事件层出不穷，据统计，目前因智能合约编码不当和安全漏洞造成的经济损失每年高达数十亿美元。因此，本文以以太坊智能合约为例，选取了一些常见合约安全漏洞，并结合过往发生的安全事件对其进行回顾分析，想以此来警醒各位读者，重视合约安全，避免漏洞“踩坑”。

查看详情

无图

pa paper.seebug.org / 2023-02-12 14:15

在 Adobe Reader 以及旧版本的 Foxit Reader 中，通常会利用 JS 的 ArrayBuffer 来布局内存并最终实现任意代码执行。然而，最新版本 Foxit Reader 中的 ArrayBuffer 已经被禁用，这导致漏洞利用的难度很大，目前还未见到网上有公开的漏洞利用方案。

这篇文章主要总结我在研究 Foxit Reader 漏洞利用的过程中积累的一些经验，从 Foxit Reader 的一套内存管理机制的角度出发，探索潜在的漏洞利用方式，为大家提供一些可能的思路。

查看详情

无图

pa paper.seebug.org / 2023-02-12 14:12

基于代码属性图的自动化漏洞挖掘实践

应用程序分析技术挖掘应用漏洞一直以来都是学术界和工业界的研究重点之一。从最初的正则匹配到最近的代码属性图挖掘方案，国内外有很多来自不同阶段的安全工具或商业产品来发掘程序代码的安全问题。在 Java 语言方面，业界已经有了不少出色的产品，如 CodeQL 等，但是，多数产品考虑的角度是从甲方视角或开源视角出发的，也就是产品的输入大部分是以源码为主。然而，我们安全研究人员更多面对地是编译后的项目，比如编译后的 WAR、第三方依赖 JAR 等形式。对于此类形式目标的漏洞挖掘，当前存在的审计产品或多或少都有一些限制，比如最近几年很火的 CodeQL 就无法直接处理此类形式的目标代码。当前，安全研究人员大多以人工或一些辅助工具来完成此类形式项目的漏洞挖掘。很明显，这种方式审计效率是非常低的，而且，审计结果也很容易遗漏。为此，需要一款能解决此类问题的工具。

查看详情

无图

bl blog.nsfocus.net / 2022-12-24 23:34

【公益译文】了解、预防、修复：开源漏洞讨论框架

开源软件的安全性引起了业界关注，这并不奇怪。在实施相关安全方案时，需要对过程中的挑战与合作达成共识。这个问题很复杂，涉及方方面面：供应链、依赖关系管理、身份和构建管道。问题捋清后，解决方案也就呼之欲出。为方便业界讨论开源软件中的漏洞以及首要着眼点，我们提出了一个框架（“了解、预防、修复”），内容包括：

• 元数据和身份标准共识：行业需要就解决这些复杂问题的基本原则达成共识。在元数据细节和身份方面统一看法后，将推动自动化，减少更新软件所需的工作量，并将漏洞的影响降至最低。

• 提高关键软件的透明度，加强对这些软件的审查：对于对安全至关重要的软件，我们需要就开发过程达成一致，确保充分审查，过程透明，避免单方面更改，最终产生语义清晰的可验证官方版本。

查看详情

无图

ip www.ipcpu.com / 2022-07-31 23:59

Docker镜像漏洞扫描工具Trivy

Trivy是一个简单易用并且全面的容器漏洞扫描程序。
Trivy可检测操作系统软件包（Alpine，RHEL，CentOS等）和应用程序依赖项（Bundler，Composer，npm，yarn等）的漏洞。
Trivy很容易使用，只要安装二进制文件，就可以扫描了。扫描只需指定容器的镜像名称。与其他镜像扫描工具相比，例如Clair，Anchore Engine，Quay相比，Trivy在准确性、方便性和对CI的支持等方面都有着明显的优势。

查看详情

无图

so soulteary.com / 2022-05-06 23:14

Golang 多版本管理

如果你是一个 Golang 的用户，那么你大概率会遇到管理和维护 Golang 版本的诉求，如果你恰好同时需要开发调试两个不同版本的项目，在不考虑强制跳版本的情况下，你或许就需要使用“Golang 版本管理工具”来帮助你减轻负担了。本篇文章将介绍最近几个月，我在使用的工具，它们的优势和不足。希望能够帮助到有类似需求的同学。

查看详情

无图

Samba远程DoS漏洞CVE-2018-1050 4.0.0及后续版本受影响

赞过的人

发表评论

相关分享