原文出处:https:mp.weixin.qq.comspPpvm0j6xANOsJ411BQQg先说结论今年大型hvv的观感:1.大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击(以安全产品、OA、cms、办公软件为主)2.社工+钓鱼又玩出了新花样(红队这帮人估计去电诈团队培训回来的?)3.开源软件的Nday0day漏洞及投毒仍然很实用(更多是Nday漏洞有更成熟的利用工具用来打点和内网渗透)未来攻防趋势判断:1.未来几年hvv仍然会以这三样攻击手段为主,重...
2023-08-21 19:03:34 1417浏览 0点赞 0回复 0收藏
漏洞概要SpringCloudGateway是SpringCloud生态中的API网关,包含限流、过滤等API治理功能。Spring官方在2022年3月1日发布新版本修复了SpringCloudGateway中的一处代码注入漏洞。当actuator端点开启或暴露时,可以通过http请求修改路由,路由中包含的恶意filter参数会经过SPEL表达式解析,从而导致远程主机执行任意代码。影响范围:org.springframework.cloud:springcloudgatewayserver[3.1.0,3.1.1)org.springframework.cloud:s...
2023-02-23 15:07:32 3101浏览 0点赞 0回复 0收藏
漏洞概要Joomla在海外使用较多,是一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。Joomla4.0.0至4.2.7版本中的ApiRouter.phpparseApiRoute在处理用户的Get请求时未对请求参数有效过滤,导致攻击者可向Joomla服务端点发送包含publictrue参数的请求(如:apiindex.phpv1configapplicationpublictrue&keyvalue)进行未授权访问。修复方案:在4.2.8版本中对漏洞进行了修复,建议用户将Joomla升级至4.2.8及以上版本漏洞链...
2023-02-23 15:05:30 4923浏览 0点赞 0回复 0收藏
背景如今,软件供应链安全问题已经成为一个全球性的难题。根据数据统计,2017年全球遭受网络攻击的公司比例已经达到了93%,其中很大一部分是由于软件供应链安全问题导致的。而在中国,据统计,2019年全国共发生了2.7万起网络安全事件,其中不乏因软件供应链安全问题而导致的事件。软件供应链安全问题的出现原因也较为复杂,包括第三方供应商的安全风险、源代码泄露、恶意软件等,并涉及到软件生命周期的所有环节,包括开发、测...
2023-02-23 15:03:59 3708浏览 0点赞 0回复 0收藏
AIGC将成为重要的软件供应链近日,OpenAI推出的ChatGPT通过强大的AIGC(人工智能生产内容)能力让不少人认为AI的颠覆性拐点即将到来,基于AI将带来全新的软件产品体验,而AI也将会成为未来软件供应链中非常重要的一环。在OpenAI的文档中,例举了可以利用其实现的48种应用场景,人们在积极探索如何将以ChatGPT为代表的AI能力应用到各行各业。OpenAI中的应用举例从应用上,学生可能成为了第一批的风险群体。在线课程厂商Study.com...
2023-02-14 14:22:13 4344浏览 2点赞 1回复 0收藏
Gartner认为软件供应链攻击是2022年的主要的威胁来源,有人将2022年称为软件供应链安全元年,是新上任CIO的首要工作,越来越多开发者、安全研究人员在关注软件供应链安全。我们通过梳理漏洞和开源组件数量变化、相关的漏洞风险事件、法规和标准、产品能力关注点,来对软件供应链安全这一领域进行回顾。可以看到:新出现的漏洞和开源组件的数量都在增长中国有6个针对特定行业的信息安全管理法规中涉及软件供应链,软件供应链安全...
2023-01-31 11:29:24 4689浏览 1点赞 2回复 1收藏
近日《信息安全技术关键信息基础设施安全保护要求》国家标准正式发布,《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。背景2022年11月7日,GBT392042022《信息安全技术关键信息基础设施安全保护要求》国家标准在京发布,作为推荐性标准将于2023年5月1日正式实施。此次标准是在《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》基...
2022-11-11 10:06:41 5056浏览 1点赞 0回复 0收藏
ApacheCommonsJXPath是一个XPath表达式语言的简单解释器。JXPath将XPath表达式应用于各种类型的对象如:JavaBeans、Maps、Servletcontexts和DOM等,对于喜欢XML风格API的开发者来说JXPath是一个高效的工具。近期有安全研究者通过ossfuzz发现JXPath存在任意代码执行漏洞(CVE202241852),建议开发人员留意自己是否在使用该组件。漏洞简述commonsjxpath:commonsjxpath在1.3(2008年发布,官方暂未发布新版本)及之前版本中存在任...
2022-11-02 14:57:11 1.0w浏览 0点赞 0回复 0收藏
本周安全态势综述OSCS社区共收录安全漏洞20个,公开漏洞值得关注的是ApacheLinkisJDBCEngineConn模块远程代码执行漏洞(CVE202239944),ApacheFlumeJMSSource存在JNDI注入漏洞(CVE202242468),ApacheHeron
2022-11-02 14:40:15 4278浏览 1点赞 0回复 0收藏
