包含已知漏洞的开源代码被广泛使用

最新推荐文章于 2023-09-08 19:35:25 发布
最新推荐文章于 2023-09-08 19:35:25 发布
阅读量190 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/151148
版权

企业在大量使用开源代码,但在使用开源代码时他们很少对其进行安全检查,一个不可避免的结果是他们的软件项目使用的开源组件包含了已知的漏洞。提供源码托管服务的 Sonatype 公司估计,80% 到90%的企业代码实际上是由开源组件构成,是从公开代码库直接导入。

Sonatype分析了3000家机构的超过2.5万企业应用,发现一家企业每年下 载了5000个不同的开源组件。年代最悠久的组件有最高的几率包含安全漏洞。修正安全漏洞将需要耗费大量资金。

 

http://static.cnbetacdn.com/article/2016/0719/43ef290cc79b4b8.png




====================================分割线================================

本文转自d1net(转载)
weixin_34162401
关注
dnstracer1.9带漏洞源码
11-22
dnstracer1.9版本含有缓冲区溢出漏洞。是经典栈溢出漏洞,适合新手学习
metasploit实验报告及漏洞利用代码
01-11
它是源社区的瑰宝,由 Rapid7 维护,并且在全球范围内被安全研究人员、渗透测试人员以及网络安全专业人员广泛使用。本实验报告将深入探讨Metasploit的使用方法,以及如何通过它来编写和执行漏洞利用代码。 首先,...
安全测试之使用含有已知漏洞的组件
小太阳~
02-02 3281
一、使用含有已知漏洞的组件的概念应用中使用的一些组件,比如:库文件、框架和其他软件模块,几乎总是以全部的权限运行。如果使用含有已知漏洞的组件,这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,并使一系列可能的攻击和影响成为可能。危害比较严重二、针对这种漏洞的防御措施 首先,这种漏洞不是因为代码不严密,也不是因为没有加密等,而是因为引用了含有漏洞的组
A9 使用含有已知漏洞的组件
weixin_43355264的博客
02-11 1088
使用含有已知漏洞的组件 - 应用描述 对一些漏洞很容易找到其利用程序,但对其它的漏洞则需要定制发。 • 这种安全漏洞普遍存在。基于组件发的模式使得多数发团队根本不了解 其应用或API中使用的组件,更谈不上及时更新这些组件了。 • 如Retire.js之类的扫描器可以帮助发现此类漏洞,但这类漏洞是否可以被利用 还需花费额外的时间去研究。...
使用含有已知漏洞组件
whoim_i的博客
11-22 3409
原理 大多数的发团队并不会把及时更新组件和库当成他们的工作重心,更不关心组件和库的版本,然而应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,可能导致严重的数据丢失或服务器接管。 防范 1.标识正在使用的所有组件和版本,包括所有依赖项 2.及时关注这些组件的安全信息并保证他们是最新的。 3.建立使用组件的安全策略,禁止使用未经安全评估的组件。 4.在适当情况下,对组件进行安全封装,精简不必要...
OWASP.A9使用具有已知漏洞的组件,漏洞解读及检测方法
明光札记
10-07 1188
使用具有已知漏洞的组件漏洞介绍 漏洞成因 应用程序技术栈中使用的框架、库、工具包出现了已知的安全漏洞。 攻击方式 利用应用程序技术栈中的框架、库、工具等的已知漏洞进行攻击,获取高权限或者敏感数据。 漏洞影响 敏感数据泄露,提升权限,远程代码执行等,具体影响视漏洞可利用程度而定。 漏洞防护 1、删除所有不必要的依赖项。 2、了解并掌握自己所使用的都有所有组件的清单。 3、监视诸如国家信息安全漏洞库cnnvd,通用漏洞库cve,以查找组件中的漏洞。 4、定期更新升级自己所用组件。 5、尽量不采用那些维护不积极的
源代码安全之痛.pdf
10-13
随着开源软件广泛使用,其安全漏洞问题也日益凸显,给许多公司和组织带来了巨大的风险和损失。以下内容将详细介绍源代码的安全问题,包括开源软件安全事件、源项目检测计划和实例分析以及软件代码安全解决之道...
开源软件漏洞库综述.pdf
09-09
首先,漏洞挖掘是识别和修复软件缺陷的过程,对于开源软件而言尤其关键,因为其源代码放性使得漏洞可能被广泛地发现和利用。开源软件漏洞库是这一过程的重要工具,它们收录了已知漏洞信息,提供给发者和安全...
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
Struts 2是一款基于Java的源MVC框架,它在Web应用发中广泛使用,但同时也因其复杂的架构和历史遗留问题,成为了网络安全的焦点。这个标题提到的是一个全面的Struts 2漏洞检测工具,旨在帮助发者和安全专家识别...
php包含漏洞源码
05-23
这是关于php的通用包含漏洞源码,需要的可以自己下载。
OWASP top10(OWASP十大应用安全风险)之A9 使用具有已知漏洞的组件 (Using Components with Known Vulnerabilities)
qq_39682037的博客
03-19 3048
TOP9 使用具有已知漏洞的组件 (Using Components with Known Vulnerabilities) 简单的网站(例如个人博客)对其具有很大的依赖性。毫无疑问,如果不更新网站后端和前端上的每个软件,无疑会给人们带来沉重的安全风险,而不是迟早会带来风险。虽然这可能有点讽刺,但是每次您忽略更新警告时,您可能都允许一个已知漏洞在您的系统中幸存。相信我,网络犯罪分子会迅速调查软件...
漏洞挖掘中的常见的源码泄露
weixin_30871905的博客
08-04 537
这几天一直想写点啥,偶然间,逛我们团长 小艾 的博客,我看到一个文章,题目是 " 常见的web 源码泄露漏洞 ",其中记录了好多源码泄露,但是我就见过其中三个,所以就想着总结一份挖洞中常见的源码泄露吧。 小艾那篇文章的地址:http://www.htmlsec.com/?p=50 在记录之前,我为了证明我的想法,我以关键词 ' 源码泄露 ' 在乌云漏洞库刷了一遍案例。 一共 30...
文件包含漏洞复现(附源码)
qq_40390383的博客
04-15 1411
文件包含是指使用include、require等一些包含文件的函数,所产生的漏洞。分为本地文件包含、远程文件包含 本地文件包含:是调用的是服务器本地的文件:如下: 远程文件包含:是调用其他服务器的文件:如下: 下面始复现: <!DOCTYPE html> <html> <head> <title>index.php</ti...
使用已知漏洞的组件(四)
努力让自己更优秀的博客
09-19 1605
如何预防 软件项目应该遵循下面的流程: 1,移除不使用的依赖,不需要的功能、组件和文档; 2,利用工具如 versions、DependencyCheck、retire.js 等来持续的记录客户端和服务器以及它们的依赖库的版本信息; 3,对使用的组件持续监控如CVE和NVD等漏洞中心,可以使用自动化工具来完成此功能; 4,仅从官网渠道获取组件并且在有条件的情况下尽可能采用单一包来避免被恶意篡改的风...
2018-12-18 搜索别人编辑好的漏洞利用代码
昨天今天下雨天的博客
12-18 225
一、在kali中,输入:searchsploit xxxxx (kali中自带的关于xxxxx的漏洞利用代码,例如slmail) 二、额。。。
漏洞利用代码
p656456564545的专栏
01-09 667
zabbix注入 http://zabbix.server/zabbix/httpmon.php?applications=2%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28%28select%28select%20concat%28cast%28concat%28alias,0x7e,passwd,0x7e%29
组件安全以及漏洞复现
最新发布
weixin_58954236的博客
09-08 1088
​ 组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据丢失或服务器接管。同时,使用含有已知漏洞的组件的应用程序和API 可能会破坏应用程序防御、造成各种攻击并产生严重影响。
使用Python构建全能漏洞扫描器
Metasploit Framework是一个广泛使用源安全工具,它包含了大量的渗透测试模块,可以用于漏洞扫描、exploit发等。在MSF中,他讲解了如何处理数据库连接问题,包括启动PostgreSQL服务、创建用户和数据库,并连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值