洞源实验室 | 网络安全实践与AI安全探索

测评背景随着数字技术的进步，网络安全行业日益发展，企业对于DevSecOps的应用和落地的需求日益增加，静态源代码安全扫描工具已成为其中的关键产品或工具。 2023年5月30日，OWASP中国基于目前行业内的相关调研报告以及行业共识发布了 《静态源代码安全扫描工具测评基准》v2.0 版本，对于静态源代码安全扫描工具的测评基准进行了升级。 在此基础上，【洞源实验室】联合【武汉金银湖实验室】邀请国

近日，一部名为《孤注一掷》的犯罪影片正在大银幕上热映，这部影片以揭秘网络诈骗全产业链内幕为主题，全方位拆解了电信诈骗套路。由于有包括俞华辰等安全专家的参与，其中也不乏专业的技术场景。 本文将按照电影情节先后，介绍和分析电影场景中的技术手段及原理，看哪些是真实存在的技术，哪些又是艺术加工的结果。 酒店会场里的恶作剧影片开始，潘生在离开会场之后使用SQLMap工具利用SQL注入漏洞进入到了酒店管理系

0x00 事件背景CVE-2023-20871是Pwn2Own温哥华黑客大赛，由STAR Labs团队的安全人员展示的漏洞。它是一个基于堆栈的缓冲区溢出漏洞，存在于Vmware的虚拟机共享主机设备蓝牙的功能中。 CVE-2023-35829是Linux内核版本6.3.2之前的一个漏洞，存在于rivers/staging/media/rkvdec/rkvdec

一、背景根据最新的数据统计显示，全球每天有数十万次的安全漏洞攻击事件发生，其中一半以上是由未修复的已知漏洞引起的，这些攻击可能导致企业损失数百万甚至数亿的资金，从而损坏企业品牌和声誉，甚至使企业面临政府机关或客户的问责或法律诉讼。 因此，对已知安全漏洞的修复是企业在安全建设工作中不可或缺的一项重要任务。 二、安全漏洞识别与评估企业进行漏洞修复的前提是对漏洞进行识别和评估。只有在识别、掌握、记录了安

0x00 漏洞背景QQ 是一款广泛使用的即时通讯软件，由腾讯公司开发和运营。它提供在线聊天、语音通话、视频通话、在线游戏等功能，成为了许多人日常沟通和社交的重要工具之一。QQ 拥有庞大的用户基础，并且其用户群体遍布全球。 TIM（腾讯即时通信）是腾讯公司推出的另一款即时通讯软件，旨在为企业和个人提供高效的即时沟通和协作平台。TIM支持文字聊天、语音通话、视频通话、群组聊天、文件传输等功能，并提供了

0x00 事件背景GitHub是一个基于Web的代码托管平台和开发者社交网络。它提供了仓库（Repositories）用于存放代码，并提供了版本控制功能，使多人协作开发变得更加高效和便捷。GitHub允许开发者将自己的代码存储在云端仓库中，并进行版本管理。它使用分布式版本控制系统Git，使开发者可以轻松跟踪、管理和协作开发项目。 RepoJacking（仓库劫持）是指攻击者通过获取对原始仓库的控制

0x00 事件背景NPM（Node Package Manager）是Node.js的软件包管理器，用于管理和分发JavaScript代码库。通过NPM，用户可以方便地安装、更新和删除JavaScript库，以及管理项目的依赖关系。 node-pre-gyp是一个用于简化 Node.js 本机模块构建和发布的工具，它提供了统一的构建和安装流程，并自动处理不同平台和架构的差异。这样，开发人员可以更方

0x00 漏洞背景Qt是一个跨平台的C++应用程序开发框架，用于创建图形用户界面（GUI）应用程序、命令行工具、嵌入式系统和网络应用等各种类型的应用。 Qt框架包含的Qt Network（网络模块），提供了QNetworkAccessManager 类，该类允许应用程序发送网络请求和接收回复。其在处理响应时，会根据服务器发送的“Strict-Transport-Security”的响应头来更新HS

0x00 事件背景PyPI（Python Package Index）是Python官方的包索引和分发平台。它是一个公共的、全球性的存储库，用于存储、发布和安装Python包和模块。 PyPI允许开发者将他们编写的Python代码打包为可重用的模块或库，并将其发布到PyPI上供其他开发者使用。开发者可以通过使用pip工具（Python的包管理工具）从PyPI上安装所需的模块或库。PyPI提供了一个

漏洞背景KeePass是一款开源密码管理软件。它旨在帮助用户存储和管理他们的密码和敏感信息，以便安全地访问各种在线服务和应用程序。 KeePass提供一个安全的数据库，其中可以存储用户名、密码、网站链接、附加说明和其他自定义字段。这些信息被加密保护，并需要一个主密码或密钥文件才能解锁和访问。 漏洞信息 漏洞影响该漏洞存在于2.54之前的KeePass2.x版本中。成因是由于KeePass文本框内容