墨菲安全

本次分享由墨菲安全联合创始人&研发负责人宇佰超于 9 月 26 日快手安全沙龙中分享，本次主题《软件供应链安全体系、方法与落地》，文末附本次分享视频链接，欢迎大家查阅分享，如有任何欢迎联系我们一起交流讨论～ 随着国家 IT 及信息化的推广与普及、IT 行业的快速发展，软件供应链体系愈发的成熟。企业软件开发与信息化建设过程中，涉及与使用到的供应链比重越…

一、事件简述 1月5日，有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件，该组件存在收集配置信息和删除本地文件的恶意逻辑，当前 NPM 仓库已经下线了该组件。 chalk-next 组件的开发者也是 vue-admin-beautiful 项目的作者 chuzhixin，vue-admin-beautiful 项目在 Gi…

漏洞简述 Django是一个由Python语言编写的开源Web应用框架，github上star为64.9K。 7月4日，Django官方修复了一个SQL注入漏洞。如果Trunc()的kind参数和Extract()的lookup_name参数没有进行安全过滤，可能会造成SQL注入的风险。 漏洞分析 以Django 4.0版本为例，可以通过官方提供的测试用例进…

一、事件简述 2022 年 06 月 23 日，OSCS 开源安全社区监测发现 PyPI 官方仓库被攻击者上传了agoric-sdk，datashare，datadog-agent等150+个恶意钓鱼包，OSCS官方提醒广大开发者关注。 PyPI 是 Python 的包管理工具，提供了对第三方 Python 包的查找、下载、安装、卸载等功能。攻击者mega7…

6月21日，海淀区举办中关村科学城重点项目签约发布活动。本次活动主要围绕关键核心技术“揭榜挂帅”等3项落实、中关村新一轮先行先试改革措施、2项加速医药健康产业发展措施发布、全国首个临床医学概念验证中心揭牌以及24个中关村科学城重点项目集中签约等内容为主，为全力以赴推动复工复产、用好用足中关村新一轮先行先试改革红利。 海淀区委书记王合生，区委副书记、代区长李俊…

漏洞简述 Ghost 是以Node.js语言开发的一款开源博客程序，在Github上其star为超过4万。 漏洞分析 漏洞因为需要后台权限，有一定利用条件，有趣的点在于Ghost的RCE漏洞是由于moment.js下的路径遍历和文件包含漏洞，再加上Ghost中的文件上传和指定locale功能。moment.js中的文件包含漏洞，在一般情况下可能影响较小，但结…

从行业调研报告中显示，2020年较2015年开源项目数增长了近3倍，中国有超88%的企业在使用开源技术，开源代码占软件代码的比例已经从2015年的不到40%上升到19年的近80%，大大提升了开发效率，加快了创新步伐。 然而开源生态蓬勃发展的同时，也随之而来存在着很多新的安全风险。从去年12月份的log4j漏洞，到一月份Marak Squires删库事件，再到…

简述 6月4日，墨菲安全实验室监测发现Atlassian修复了Confluence Server 和 Confluence Data Center 中的OGNL注入漏洞。 Atlassian Confluence是企业常用的wiki系统，攻击者无需认证可利用漏洞在Confluence Server 或 Confluence Data Center 系统中执行…

前言 SBOM（软件物料清单）是近年来在软件供应链领域频繁提到的概念，Linux基金会在2021年Q3调研了全球412 家机构发现已经有82%的人熟悉SBOM、78%的组织预计在今年使用SBOM。本文将介绍SBOM基本概念、实现方式、应用场景，帮助读者通过SBOM更高效地实现安全治理目标。 什么是SBOM 根据NTIA(美国国家电信和信息化管理局)的定义，S…

漏洞简述 3月31日，spring 官方通报了 Spring 相关框架存在远程代码执行漏洞，并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞。 漏洞评级：严重 影响组件：org.springframework:spring-beans 影响版本：< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该…