未分类
-
PyPI仓库发现投毒组件
2024年11月15日在Python官方仓库发现下面一批具有共性的投毒组件: 这批恶意组件用于进行信息收集,大概发布一天后就被pypi官方下架,但仍可在腾讯云PyPI镜像站下载,如:https://mirrors.cloud.tencent.com/pypi/simple/bytekafka/ 投毒代码分析 以 bytekafka 投毒包为例,攻击者在包中植…
-
墨菲安全在软件供应链安全领域阶段性总结及思考
向外看:墨菲安全在软件供应链安全领域的一些洞察、思考、行动 洞察 现状&挑战: 正在发生的: 思考 为什么这么说? 一个行业越成熟,那么其生产过程中供应链体系就越完善和标准化,比较典型的案例就是汽车的生产和制造; 以汽车生产和制造为例,这个行业非常成熟,因此其供应链体系也相当完善和标准化。以下是一些具体的表现: 总的来说,随着汽车生产和制造行业的成熟…
-
Smartbi 登录代码逻辑漏洞
漏洞类型 身份验证不当 发现时间 2023/7/3 漏洞等级 高危 MPS编号 MPS-kb1w-cdn6 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi是一款企业级商业智能与大数据分析平台。由于Smartbi登录代码存在逻辑缺陷,攻击者可利用该漏洞登录管理员账号,进而利用系统后台加载扩展包功能执行任意代码。参考链接:…
