新的。net恶意软件“WhiteSnake”瞄准Python开发者,使用Tor进行C&C通信
2023年4月24日
JFrog安全研究团队最近在用c#编写的PyPI存储库中发现了一个新的恶意软件有效载荷。这并不常见,因为PyPI主要是Python包的存储库,其代码库主要由Python代码或Python程序使用的本机编译库组成。这一发现引起了我们对……
测试最不安全的Docker应用的实际安全性
2023年2月28日
我们之前对顶级DockerHub映像中CVE可利用性的研究发现,报告的CVE中有78%实际上是不可利用的。这一次,JFrog安全研究团队使用JFrog Xray的上下文分析功能,自动分析报告的cve的适用性,来扫描OWASP WebGoat——一个故意不安全的应用程序。结果表明……
在使用Rust流行的Hyper包时要注意DoS
2023年1月5日
JFrog安全研究团队不断在流行的开源项目中寻找新的和以前未知的漏洞和安全问题,以帮助改善他们的安全状况,并保护更广泛的软件供应链。作为这项工作的一部分,我们最近发现并披露了流行Rust项目中的多个漏洞,如Axum、Salvo和…
最新的LastPass安全漏洞突出了开发人员作为高价值目标
2022年12月29日
去年8月,基于云的密码管理工具LastPass的维护者报告称,他们的服务器存在安全漏洞。披露坚持认为,未经授权的一方通过一个受损的开发人员帐户获得了访问LastPass开发环境的权限。然而,虽然源代码和技术信息被盗,但没有用户数据被泄露,也没有……
PyPI恶意软件创建者开始使用反调试技术
2022年12月13日
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。今天,大多数PyPI恶意软件都试图使用各种技术来避免静态检测:从原始的变量篡改到复杂的代码平坦化和隐写技术。...
事实证明,在顶级DockerHub映像上报告的常见cve中,有78%并不是真正可利用的
2022年11月15日
与我们之前对“秘密检测”的研究类似,在开发和测试JFrog Xray的新“上下文分析”功能期间,我们希望在大规模的现实世界用例中测试我们的检测,以消除错误并测试我们当前解决方案的现实世界可行性。然而,不像我们在……
JFrog的安全扫描器发现了数千个公开暴露的API令牌——它们是活跃的!报告全文
2022年11月8日
注意:本报告之前发表在InfoWorld上,在开发最近发布的JFrog高级安全时,我们的研究团队决定尝试其新的“秘密检测”功能。我们的目标是在尽可能多的真实世界数据上测试我们的漏洞检测,以确保我们消除误报并捕获任何漏洞……
CVE-2022-3602和CVE-2022-3786 -高严重性OpenSSL漏洞最终公布
2022年11月2日
我们是怎么走到这一步的?10月25日,OpenSSL团队宣布,OpenSSL 3.0.7将修复一个影响OpenSSL 3.x的严重漏洞。在11月1日之前,有关该漏洞的全部细节都被封锁。由于OpenSSL严重问题的罕见性和压倒性的流行…
CVE-2021-38297 - Go Web Assembly漏洞分析
2022年8月30日
JFrog安全研究团队持续监控开源软件(OSS)中报告的漏洞,以帮助我们的客户和更广泛的社区了解潜在的软件供应链安全威胁及其影响。在这样做的过程中,我们经常注意到值得强调的重要趋势和关键经验。以下是对在…中发现的漏洞的分析
满足我们在OPC UA工业栈中的远程代码执行方式
2022年8月25日
JFrog安全团队最近参加了Pwn2Own迈阿密2022黑客竞赛,该竞赛的重点是工业控制系统(ICS)安全。我们的竞争研究目标之一是基于c++的统一自动化OPC UA服务器SDK。除了我们在pwn2own竞赛中披露的漏洞之外,我们设法找到并…
