From 75708e7eaf09813221a7331a7dd3f56cf314dba1 Mon Sep 17 00:00:00 2001 From: test Date: Thu, 28 Nov 2024 12:21:20 +0000 Subject: [PATCH] =?UTF-8?q?=E5=A4=A7=E6=A8=A1=E5=9E=8B=E5=BA=94=E7=94=A8?= =?UTF-8?q?=E5=AE=9E=E8=B7=B5=EF=BC=88=E4=B8=80=EF=BC=89=EF=BC=9AAI?= =?UTF-8?q?=E5=8A=A9=E5=8A=9BCode=20Review=E5=AE=89=E5=85=A8=E6=BC=8F?= =?UTF-8?q?=E6=B4=9E=E5=8F=91=E7=8E=B0=E3=80=81=E6=BC=8F=E6=B4=9E=E9=A2=84?= =?UTF-8?q?=E8=AD=A6=20|=207-Zip=E4=BB=A3=E7=A0=81=E6=89=A7=E8=A1=8C?= =?UTF-8?q?=E6=BC=8F=E6=B4=9ECVE-2024-11477=E3=80=81=E5=8F=B2=E4=B8=8A?= =?UTF-8?q?=E6=9C=80=E9=AB=98=E6=BC=8F=E6=B4=9E=E8=B5=8F=E9=87=91=E8=AE=A1?= =?UTF-8?q?=E5=88=92=E5=87=BA=E7=82=89=EF=BC=9A=E5=8D=95=E4=B8=AA=E6=BC=8F?= =?UTF-8?q?=E6=B4=9E=E6=9C=80=E5=A4=9A=E5=A5=96=E5=8A=B11.1=E4=BA=BF?= =?UTF-8?q?=E5=85=83=E3=80=81=E5=88=9B=E5=AE=87=E5=AE=89=E5=85=A8=E6=99=BA?= =?UTF-8?q?=E8=84=91=20|=20=E7=94=A8=E5=8F=8B=20NC=20process=20SQL?= =?UTF-8?q?=E6=B3=A8=E5=85=A5=E7=AD=8973=E4=B8=AA=E6=BC=8F=E6=B4=9E?= =?UTF-8?q?=E5=8F=AF=E6=A3=80=E6=B5=8B=E3=80=81=E6=96=B0=E4=B9=A6=E6=9D=A5?= =?UTF-8?q?=E4=BA=86=EF=BC=81=E3=80=8AWeb=E6=BC=8F=E6=B4=9E=E5=88=86?= =?UTF-8?q?=E6=9E=90=E4=B8=8E=E9=98=B2=E8=8C=83=E5=AE=9E=E6=88=98=EF=BC=88?= =?UTF-8?q?=E5=8D=B71=EF=BC=89=E3=80=8B=E6=AD=A3=E5=BC=8F=E5=8F=91?= =?UTF-8?q?=E5=94=AE=E3=80=81=E3=80=90=E6=BC=8F=E6=B4=9E=E9=80=9A=E5=91=8A?= =?UTF-8?q?=E3=80=91Zabbix=20SQL=E6=B3=A8=E5=85=A5=E6=BC=8F=E6=B4=9E?= =?UTF-8?q?=EF=BC=88CVE-2024-42327=EF=BC=89=E3=80=81Firefox=E5=92=8CTor?= =?UTF-8?q?=E6=B5=8F=E8=A7=88=E5=99=A8=E9=81=AD=E9=81=87=E7=A5=9E=E7=A7=98?= =?UTF-8?q?0Day=E6=BC=8F=E6=B4=9E=E6=94=BB=E5=87=BB=E3=80=81=E6=9E=84?= =?UTF-8?q?=E5=BB=BA=E7=94=B5=E5=AD=90=E6=94=BF=E5=8A=A1=E5=85=A8=E6=B8=A0?= =?UTF-8?q?=E9=81=93=E5=AE=89=E5=85=A8=E9=98=B2=E5=BE=A1=E4=BD=93=E7=B3=BB?= =?UTF-8?q?=20=E6=A2=86=E6=A2=86=E5=AE=89=E5=85=A8=E4=BA=AE=E7=9B=B82024?= =?UTF-8?q?=E7=BD=91=E7=BB=9C=E5=AE=89=E5=85=A8=E5=88=9B=E6=96=B0=E5=8F=91?= =?UTF-8?q?=E5=B1=95=E5=A4=A7=E4=BC=9A=E3=80=81Intruder=E6=8E=A8=E5=87=BAI?= =?UTF-8?q?ntel=EF=BC=9A=E4=B8=80=E4=B8=AA=E5=85=8D=E8=B4=B9=E7=9A=84?= =?UTF-8?q?=E6=BC=8F=E6=B4=9E=E6=83=85=E6=8A=A5=E5=B9=B3=E5=8F=B0=E3=80=81?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- data.json | 11 +- doc/Firefox和Tor浏览器遭遇神秘0Day漏洞攻击.md | 44 +++ ...truder推出Intel:一个免费的漏洞情报平台.md | 98 ++++++ ...通告】Zabbix SQL注入漏洞(CVE-2024-42327).md | 50 +++ ...脑 | 用友 NC process SQL注入等73个漏洞可检测.md | 295 ++++++++++++++++++ ...漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元.md | 94 ++++++ ...用实践(一):AI助力Code Review安全漏洞发现.md | 207 ++++++++++++ ...!《Web漏洞分析与防范实战(卷1)》正式发售.md | 160 ++++++++++ ...全防御体系 梆梆安全亮相2024网络安全创新发展大会.md | 60 ++++ ...洞预警 | 7-Zip代码执行漏洞CVE-2024-11477.md | 38 +++ 10 files changed, 1056 insertions(+), 1 deletion(-) create mode 100644 doc/Firefox和Tor浏览器遭遇神秘0Day漏洞攻击.md create mode 100644 doc/Intruder推出Intel:一个免费的漏洞情报平台.md create mode 100644 doc/【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327).md create mode 100644 doc/创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测.md create mode 100644 doc/史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元.md create mode 100644 doc/大模型应用实践(一):AI助力Code Review安全漏洞发现.md create mode 100644 doc/新书来了!《Web漏洞分析与防范实战(卷1)》正式发售.md create mode 100644 doc/构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会.md create mode 100644 doc/漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477.md diff --git a/data.json b/data.json index 9ab00f68..7abeb7b1 100644 --- a/data.json +++ b/data.json @@ -692,5 +692,14 @@ "https://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247614324&idx=1&sn=80bc2f0431733718278f14f920fb8d38": "漏洞挖掘 | 通过一个简单的注册漏洞获取任意账户访问权限", "https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247502502&idx=1&sn=874d1d96ffd31643476939deced0fd4f": "【在野利用】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)安全风险通告", "https://mp.weixin.qq.com/s?__biz=Mzg4MTkwMTI5Mw==&mid=2247486295&idx=1&sn=abfa87852e2e7dc8d2b0d2c9c1760f95": "某微信万能门店小程序系统存在前台任意文件上传漏洞", - "https://mp.weixin.qq.com/s?__biz=Mzg3NzkwMTYyOQ==&mid=2247488006&idx=1&sn=69194b9ea7c038bace29df89d53fa101": "工具分享 | nuclei管理工具+9w poc不想要嘛?" + "https://mp.weixin.qq.com/s?__biz=Mzg3NzkwMTYyOQ==&mid=2247488006&idx=1&sn=69194b9ea7c038bace29df89d53fa101": "工具分享 | nuclei管理工具+9w poc不想要嘛?", + "https://mp.weixin.qq.com/s?__biz=MjM5NzE1NjA0MQ==&mid=2651206699&idx=1&sn=b850cf1e858f00b90a717efd504988dc&chksm=bd2cd18d8a5b589baf4bc2e8229f0eef51a96cf1ffe79bcd9214278becd3684f3fa040892043&scene=58&subscene=0": "大模型应用实践(一):AI助力Code Review安全漏洞发现", + "https://mp.weixin.qq.com/s?__biz=Mzg3NzUyMTM0NA==&mid=2247487694&idx=2&sn=4cbf3f73698e15a3d4134fe9c293a674": "漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477", + "https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247513175&idx=1&sn=aad9a2b08d9d8d9699a7496e63f316e8": "史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元", + "https://mp.weixin.qq.com/s?__biz=MzIwNjU0NjAyNg==&mid=2247489930&idx=1&sn=766e34a9f96662ab6f3afea35dc2e1be": "创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测", + "https://mp.weixin.qq.com/s?__biz=MjM5NzA3Nzg2MA==&mid=2649870256&idx=1&sn=25f2861475ff891be653aa284cb49e32": "新书来了!《Web漏洞分析与防范实战(卷1)》正式发售", + "https://mp.weixin.qq.com/s?__biz=MzkzNzY5OTg2Ng==&mid=2247500309&idx=3&sn=3cf382f546d45d798a5eafd69bbfc3e0": "【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327)", + "https://mp.weixin.qq.com/s?__biz=MzkwMTQyODI4Ng==&mid=2247494942&idx=2&sn=1126c4b20f4c21941b695f0588b1c62c": "Firefox和Tor浏览器遭遇神秘0Day漏洞攻击", + "https://mp.weixin.qq.com/s?__biz=MjM5NzE0NTIxMg==&mid=2651134615&idx=1&sn=dcb76588fcf20926def837cfcffaa086": "构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会", + "https://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247529850&idx=1&sn=4a1addfc83108525d6cf92ddb002a8f8": "Intruder推出Intel:一个免费的漏洞情报平台" } \ No newline at end of file diff --git a/doc/Firefox和Tor浏览器遭遇神秘0Day漏洞攻击.md b/doc/Firefox和Tor浏览器遭遇神秘0Day漏洞攻击.md new file mode 100644 index 00000000..e54ea0d3 --- /dev/null +++ b/doc/Firefox和Tor浏览器遭遇神秘0Day漏洞攻击.md @@ -0,0 +1,44 @@ +# Firefox和Tor浏览器遭遇神秘0Day漏洞攻击 + 网络安全与人工智能研究中心 2024-11-28 08:11 + +![](https://mmbiz.qpic.cn/mmbiz_gif/ezpQRXtYHibw4dySDkrQpo0dd5dnR2u37gPCTjvia4VEdTaymicjbuMnVtb2CjAONY915picE4e1u4aN6icDNaSIk9Q/640?wx_fmt=gif "") + + +俄罗斯某APT组织将攻击与Windows10和11中一个以前未知的漏洞链接起来,在受害者的计算机上安装后门。 + + +![](https://mmbiz.qpic.cn/mmbiz_png/ezpQRXtYHibz9HE9nsRk3sZEGLOlFZicXQPhUN4Xr0jKHcWNvcQf2zvKbnxMwuYSDGCagMsDWm0C7bzQzsiba3Rzg/640?wx_fmt=png&from=appmsg "") + + +近日,俄罗斯某APT组织被发现利用两个以前未知的漏洞攻击Windows PC上的Firefox和Tor浏览器用户。安全厂商ESET指出,这些零日漏洞攻击可能造成“广泛传播”,主要针对欧洲和北美的用户。 + + +俄罗斯黑客通过一个伪装成假新闻组织的恶意网页进行传播。如果易受攻击的浏览器(Firefox和Tor浏览器 )访问该页面,它可以秘密触发软件漏洞在受害者的PC上安装后门。 +**最关键的是,ESET警告称,这个过程无需与网页进行互动。** + +**** +目前,尚不清楚是如何传播包含恶意软件的网页链接。但第一个漏洞(编号:CVE-2024-9680),可以导致Firefox和Tor浏览器运行恶意计算机代码。 + + +黑客还将攻击与Windows 10和11中的第二个漏洞(编号:CVE-2024-49039)链接起来,在浏览器和操作系统上执行更多的恶意计算机代码,最终实现秘密下载并安装一个后门。 +**该后门能够监视PC,包括收集文件、截取屏幕截图以及窃取浏览器cookie和保存的密码。** + + +目前,Mozilla、Tor和微软已经修补了这些漏洞。这两个浏览器于10月9日修复了该漏洞,微软在11月12日修补了另一个漏洞,并建议用户及时更新。 + +如果用户未能修补漏洞,黑客可以继续利用漏洞发起此类攻击。 +ESET的杀毒产品数据显示,自10月份(可能更早)以来,某些国家已有超过250家企业用户可能遇到了这些攻击。 + + +虽然还没有掌握确凿的证据,但ESET认为该攻击的幕后是名为“RomCom”俄罗斯APT组织,后者专注于网络犯罪和间谍活动。这也是RomCom继2023年6月滥用微软CVE-2023-36884 漏洞后,第二次被发现利用关键零日漏洞,策划具有威胁性的攻击活动。 + + +![](https://mmbiz.qpic.cn/mmbiz_png/ezpQRXtYHibw4dySDkrQpo0dd5dnR2u37LOW9y4urp43vAdtNYM42sbWic0ZPL8M5x6Y9J6nU38zHlxeXCbpm8eQ/640?wx_fmt=png "") + +来源|“FreeBuf”公众号 + +编辑|音叶泽 + +审核|秦川原 + + diff --git a/doc/Intruder推出Intel:一个免费的漏洞情报平台.md b/doc/Intruder推出Intel:一个免费的漏洞情报平台.md new file mode 100644 index 00000000..633a3f34 --- /dev/null +++ b/doc/Intruder推出Intel:一个免费的漏洞情报平台.md @@ -0,0 +1,98 @@ +# Intruder推出Intel:一个免费的漏洞情报平台 + 数世咨询 2024-11-28 08:00 + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/Y9btpvDIDqpKUOG38ja4ZLH8gbwZbDQ1XQh8LZXCBjEZTnPbxqaDMOfZQYcR5aNa10rbGESVUlQhFDIyEo4ticw/640?wx_fmt=jpeg&from=appmsg "") + + +当 +CVEs +(常见漏洞和披露)成为热门话题时,从众多信息中甄别出关键的安全威胁并采取行动至关重要。正因为如此,专注于攻击面管理的知名厂商 +Intruder +推出了 +Intel +【译者:非芯片 +Intel +】 +—— +这一免费的漏洞智能平台旨在帮助分析者迅速识别并优先处理真正的风险。 + +**Intel简介:** + +Intel平台的创建是为了填补可用于跟踪新出现的漏洞情报资源空白。去年,当 Intruder 的一个首选工具关闭时,该团队着手构建一个情报平台,该平台不仅可以满足他们的需求,还可以为整个信息安全领域带来便利。 + +Intel +平台追踪过去 +24 +小时内最热门的 +CVE +,并为每个 +CVE +分配一个 +“ +热度评分 +” +。该评分基于 +100 +分的基准,反映了当年最高程度的热度。除了实时洞察外,还邀请了 +Intruder +安全团队提供专家评论,并整合来自 +NVD +和 +CISA +等可信来源的最新信息,所有这些内容都在同一平台上展示。 + +**Intel情报平台的5个重要价值:** + +**1.关注热门漏洞趋势:** + +平台实时的检查社交媒体上的流行漏洞,帮助分析者持续掌握可能的高危CVE信息,密切追踪最新漏洞动态。 + +**2. 展示漏洞热度信息:** + +Intel平台在一个合适的评估视角下展示漏洞热门趋势,热度分数有助于分析者快速判断一个安全漏洞所受关注的程度。 + +**3. 提供专业的专家建议:** + +Intruder还提供其安全团队的专业分析,用于帮助分析者深入了解关键CVE的影响并评估环境是否存在潜在风险。 + +**4.集中式CVE洞察:** + +Intel通过在一个平台上提供最新信息,包括风险评分、已知漏洞等,简化了分析者的研究过程。 + +**5. 即时情报更新:** + +借助Intel提供的RSS源,分析者可以随时掌握最新的CVE动态,该源确保每小时自动将最新情报同步至分析者的监控界面。 + +* 本文为陈发明编译,原文地址:https://thehackernews.com/2024/11/intruder-launches-intel-free.html?m=1注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。 + +— 【 THE END 】— + +🎉 大家期盼很久的# +**数字安全交流群** +来了!快来加入我们的粉丝群吧! + +🎁 **多种报告,产业趋势、技术趋势** + +这里汇聚了行业内的精英,共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利,只为回馈最忠实的您! + +👉  +扫码立即加入,精彩不容错过! + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/Y9btpvDIDqqPJv9p5ibKIhJXQjWHJmSlibSdib80Llfp8mlV0ibf7m47jyaVeGoFeorddtIuxS5liafTJRKHeSdLnaQ/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +😄 +嘻嘻,我们群里见! + + +更多推荐 +**** + + +[](http://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247514213&idx=1&sn=fa2d0412dbbce05ec48a9df909b7cfd3&chksm=c144cad8f63343ce0f383fc9d885c2c7ddcb3f3871270abea4c274775307858d350f60db3b54&scene=21#wechat_redirect) + +[](https://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247513359&idx=1&sn=2f3bd51b24862de02cca6078688bafeb&chksm=c144c7b2f6334ea415adac810ce4803cdb3cd5e5ba194ff394b7278ebbb48cc830c8d405427a&token=824343009&lang=zh_CN&scene=21#wechat_redirect) + +[](https://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247529561&idx=1&sn=21097e9ac986115991718b87150558bb&scene=21#wechat_redirect) + + + diff --git a/doc/【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327).md b/doc/【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327).md new file mode 100644 index 00000000..3be4ec9b --- /dev/null +++ b/doc/【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327).md @@ -0,0 +1,50 @@ +# 【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327) + 启明星辰安全简讯 2024-11-28 08:39 + +**一、漏洞****概述** +
漏洞名称
  Zabbix +  SQL注入漏洞
CVE   ID
CVE-2024-42327
漏洞类型
SQL注入
发现时间
2024-11-28
漏洞评分
9.9
漏洞等级
高危
攻击向量
网络
所需权限
利用难度
用户交互
PoC/EXP
未公开
在野利用
未发现
+Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等。 + +2024年11月28日,启明星辰集团VSRC监测到Zabbix中修复了一个SQL注入漏洞(CVE-2024-42327),该漏洞的CVSS评分为9.9。 + +Zabbix前端的CUser类中的addRelatedObjects函数未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入攻击,进而利用该漏洞实现权限提升或访问敏感数据。 + +## 二、影响范围 + +Zabbix 6.0.0 - 6.0.31 + +Zabbix 6.4.0 - 6.4.16 + +Zabbix 7.0.0**** + +## 三、安全措施 +### 3.1 升级版本 + +目前该漏洞已经修复,受影响用户可升级到Zabbix 6.0.32rc1、Zabbix 6.4.17rc1、Zabbix 7.0.1rc1或更高版本。 + +下载链接: + +https://github.com/zabbix/zabbix/tags +### 3.2 临时措施 + +暂无。 +### 3.3 通用建议 + +定期更新系统补丁,减少系统漏洞,提升服务器的安全性。 + +加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。 + +使用企业级安全产品,提升企业的网络安全性能。 + +加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。 + +启用强密码策略并设置为定期修改。 +### 3.4 参考链接 + +https://support.zabbix.com/browse/ZBX-25623 + +https://nvd.nist.gov/vuln/detail/CVE-2024-42327 + + + diff --git a/doc/创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测.md b/doc/创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测.md new file mode 100644 index 00000000..6b738dd5 --- /dev/null +++ b/doc/创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测.md @@ -0,0 +1,295 @@ +# 创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测 +原创 创宇安全智脑 创宇安全智脑 2024-11-28 09:31 + +**创宇安全智脑**是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态势、攻防策略;持续全场景赋能知道创宇全产品矩阵和安全托管服务。 + + +**创宇安全智脑目前已经联动支撑知道创宇全产品矩阵,包括:创宇盾、抗D保、ScanV、ZoomEye、创宇蜜罐、创宇云图、创宇云影、创宇猎幽、创宇威胁情报网关等。** + + +本周累计更新漏洞插件73个,其中重点插件7个 + +**详情如下:** + + +**更新列表** + + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa377QsDruaJvC5cyn3xpQ7W1Ixpgck1ytldNnAr2pUhBPBQZb5dL3UHTw/640?wx_fmt=png&from=appmsg "") + + +**漏洞详情** + + +**新增插件:** + + +1、用友 U8 CRM getufvouchdata.php SQL注入 + +**发布时间:**2024-11-25 + +**漏洞等级:**高危 + +**漏洞来源:** +创宇安全智脑 + +**漏洞描述:** + +用友 U8 CRM 是用友公司推出的一款客户关系管理(CRM)软件,专为企业提供客户管理和服务支持。该软件旨在帮助企业建立和维护与客户之间的良好关系,提高客户满意度,增强销售和市场活动的效果。用友 U8 CRM getufvouchdata.php 接口 pID 参数存在SQL注入漏洞。未经授权的远程攻击者可以利用该漏洞非法获取数据库信息,造成敏感信息泄露。 + +**漏洞危害:** + +恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**建议解决方案:** + +及时更新至最新版本,使用参数化查询或预编译语句并对输入进行过滤和验证,以防止SQL注入攻击。 + +**影响范围:** + +根据ZoomEye网络空间搜索引擎关键字 app="用友 U8 CRM" 对潜在可能目标进行搜索,共得到1141条IP历史记录。主要分布在中国、越南等国家。(ZoomEye搜索链接: + +https://www.zoomeye.org/v2/searchResult?q=YXBwPSLnlKjlj4sgVTggQ1JNIg%3D%3D) + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa37BVLdAa3kC0LaYtaAKwibyrpQklEWycaDAft6UJwicFpZxNs7Oxq5rXpg/640?wx_fmt=png&from=appmsg "") + +**区域分布:** + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa37H00YJwlMOaicPaDK7jTzXVwgjIFgwSep6uleRxAP50iaNbhhFvsiaQu8w/640?wx_fmt=png&from=appmsg "") + + +2、用友 NC process SQL注入 + +**发布时间:**2024-11-22 + +**漏洞等级:**高危 + +**漏洞来源:** +创宇安全智脑 + +**漏洞描述:** + +用友 NC 是面向集团企业的世界级高端管理软件。用友 NC process 接口存在SQL注入漏洞。恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**漏洞危害:** + +恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**建议解决方案:** + +及时更新至最新版本,使用参数化查询或预编译语句并对输入进行过滤和验证,以防止SQL注入攻击。 + +**影响范围:** + +根据ZoomEye网络空间搜索引擎关键字 app="Yonyou NC httpd" 对潜在可能目标进行搜索,共得到15243条IP历史记录。主要分布在中国、马来西亚等国家。(ZoomEye搜索链接: + +https://www.zoomeye.org/v2/searchResult?q=YXBwPSJZb255b3UgTkMgaHR0cGQi) + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa37BpeYKFK4YzxFJQLkwq34L4LRYMibvibZxOJGNfrr5hOcicTf8v3c9UVIQ/640?wx_fmt=png&from=appmsg "") + +**区域分布:** + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa37LIuPqfBQfnHibbZIuENnM1s1hTdUcvm1Dy8hbDiaMA73WHjwACrpMqbw/640?wx_fmt=png&from=appmsg "") + + +3、海信智能公交企业管理系统 AdjustWorkHours.aspx SQL注入 + +**发布时间:** +2024-11-25 + +**漏洞等级:** +高危 + +**漏洞来源:** +创宇安全智脑 + +**漏洞描述:** + +海信智能公交企业管理系统是由海信集团有限公司开发的一套智能化、数字化公交运营管理解决方案。该系统集成了公交调度、车辆监控、乘客服务、数据分析等功能,旨在帮助公交公司提升运营效率、优化调度管理、改善乘客体验,并实现智能化的企业管理。海信智能公交企业管理系统 AdjustWorkHours.aspx 接口存在SQL注入漏洞。恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**漏洞危害:** + +恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**建议解决方案:** + +及时更新至最新版本,使用参数化查询或预编译语句并对输入进行过滤和验证,以防止SQL注入攻击。 + +**影响范围:** + +根据ZoomEye网络空间搜索引擎关键字 app="海信智能公交企业管理系统" 对潜在可能目标进行搜索,共得到203条IP历史记录。主要分布在中国、日本等国家。(ZoomEye搜索链接: + +https://www.zoomeye.org/v2/searchResult?q=YXBwPSLmtbfkv6Hmmbrog73lhazkuqTkvIHkuJrnrqHnkIbns7vnu58i) + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa37xpaGKBhCaKD2LqxfmKzaicAqhGjMYuxrS9ianBmNrGFSKV5cSSXmFbww/640?wx_fmt=png&from=appmsg "") + +**区域分布:** + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa37WqjdMwibbaj1UXPYq7ibhnZBgS108WXTibezRGYPbSiaUoKkjlklfS8elQ/640?wx_fmt=png&from=appmsg "") + + +4、SRM 智联云采系统 quickReceiptDetail SQL注入 + +**发布时间:**2024-11-21 + +**漏洞等级:**高危 + +**漏洞来源:** +创宇安全智脑 + +**漏洞描述:** + +SRM 智联云采系统是由深圳智互联科技有限公司开发的一款供应链管理系统。SRM 智联云采系统 quickReceiptDetail 接口存在SQL注入漏洞。恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**漏洞危害:** + +恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**建议解决方案:** + +及时更新至最新版本,使用参数化查询或预编译语句并对输入进行过滤和验证,以防止SQL注入攻击。 + +**影响范围:** + +根据ZoomEye网络空间搜索引擎关键字 app="SRM 智联云采系统" 对潜在可能目标进行搜索,共得到2372条IP历史记录。主要分布在中国、俄罗斯等国家。(ZoomEye搜索链接: + +https://www.zoomeye.org/v2/searchResult?q=YXBwPSJTUk0g5pm66IGU5LqR6YeH57O757ufIg%3D%3D) + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa373DlNbCdsibWEeXhflrGofNic6zgVBJAOLldAI3cwlOHk4s9xSiaNEkwGA/640?wx_fmt=png&from=appmsg "") + +**区域分布:** + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa377gxbydVt0vRrf4RT3RRonE6ibYmO3ZPA0WIxPtt0LBf2eZnNQHpGR2A/640?wx_fmt=png&from=appmsg "") + + +5、SRM 智联云采系统 receiptDetail SQL注入 + +**发布时间:**2024-11-21 + +**漏洞等级:**高危 + +**漏洞来源:** +创宇安全智脑 + +**漏洞描述:** + +SRM 智联云采系统是由深圳智互联科技有限公司开发的一款供应链管理系统。SRM 智联云采系统 receiptDetail 接口存在SQL注入漏洞。恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**漏洞危害:** + +恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**建议解决方案:** + +及时更新至最新版本,使用参数化查询或预编译语句并对输入进行过滤和验证,以防止SQL注入攻击。 + +**影响范围:** + +根据ZoomEye网络空间搜索引擎关键字 app="SRM 智联云采系统" 对潜在可能目标进行搜索,共得到2372条IP历史记录。主要分布在中国、俄罗斯等国家。(ZoomEye搜索链接: + +https://www.zoomeye.org/v2/searchResult?q=YXBwPSJTUk0g5pm66IGU5LqR6YeH57O757ufIg%3D%3D) + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa373DlNbCdsibWEeXhflrGofNic6zgVBJAOLldAI3cwlOHk4s9xSiaNEkwGA/640?wx_fmt=png&from=appmsg "") + +**区域分布:** + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa377gxbydVt0vRrf4RT3RRonE6ibYmO3ZPA0WIxPtt0LBf2eZnNQHpGR2A/640?wx_fmt=png&from=appmsg "") + + +6、SRM 智联云采系统 statusList SQL注入 + +**发布时间:**2024-11-21 + +**漏洞等级:**高危 + +**漏洞来源:**创宇安全智脑 + +**漏洞描述:** + +SRM 智联云采系统是由深圳智互联科技有限公司开发的一款供应链管理系统。SRM 智联云采系统 statusList 接口存在SQL注入漏洞。恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**漏洞危害:** + +恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**建议解决方案:** + +及时更新至最新版本,使用参数化查询或预编译语句并对输入进行过滤和验证,以防止SQL注入攻击。 + +**影响范围:** + +根据ZoomEye网络空间搜索引擎关键字 app="SRM 智联云采系统" 对潜在可能目标进行搜索,共得到2372条IP历史记录。主要分布在中国、俄罗斯等国家。(ZoomEye搜索链接: + +https://www.zoomeye.org/v2/searchResult?q=YXBwPSJTUk0g5pm66IGU5LqR6YeH57O757ufIg%3D%3D) + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa373DlNbCdsibWEeXhflrGofNic6zgVBJAOLldAI3cwlOHk4s9xSiaNEkwGA/640?wx_fmt=png&from=appmsg "") + +**区域分布:** + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa377gxbydVt0vRrf4RT3RRonE6ibYmO3ZPA0WIxPtt0LBf2eZnNQHpGR2A/640?wx_fmt=png&from=appmsg "") + + +7、海信智能公交企业管理系统 apply.aspx SQL注入 + +**发布时间:**2024-11-21 + +**漏洞等级:**高危 + +**漏洞来源:**创宇安全智脑 + +**漏洞描述:** + +海信智能公交企业管理系统是由海信集团有限公司开发的一套智能化、数字化公交运营管理解决方案。该系统集成了公交调度、车辆监控、乘客服务、数据分析等功能,旨在帮助公交公司提升运营效率、优化调度管理、改善乘客体验,并实现智能化的企业管理。海信智能公交企业管理系统 apply.aspx 接口存在SQL注入漏洞。未经授权的远程攻击者可以利用该漏洞非法获取数据库信息,造成敏感信息泄露。 + +**漏洞危害:** + +恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。 + +**建议解决方案:** + +及时更新至最新版本,使用参数化查询或预编译语句并对输入进行过滤和验证,以防止SQL注入攻击。 + +**影响范围:** + +根据ZoomEye网络空间搜索引擎关键字 app="海信智能公交企业管理系统" 对潜在可能目标进行搜索,共得到203条IP历史记录。主要分布在中国、日本等国家。(ZoomEye搜索链接: + +https://www.zoomeye.org/v2/searchResult?q=YXBwPSLmtbfkv6Hmmbrog73lhazkuqTkvIHkuJrnrqHnkIbns7vnu58i) + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa37xpaGKBhCaKD2LqxfmKzaicAqhGjMYuxrS9ianBmNrGFSKV5cSSXmFbww/640?wx_fmt=png&from=appmsg "") + +**区域分布:** + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa37WqjdMwibbaj1UXPYq7ibhnZBgS108WXTibezRGYPbSiaUoKkjlklfS8elQ/640?wx_fmt=png&from=appmsg "") + + +ScanV + + + +为网站及业务系统提供全生命周期的外部攻击面管理(EASM)能力,从攻击者视角出发,开展漏洞监测、漏洞响应、漏洞预警等深度漏洞治理工作,实时更新漏洞情报数据,持续性跟踪风险、快速定位威胁。 + +WebSOC + + + +是面向行业区域监管机构、集团信息中心量身定制的能大范围快速发现高危Web漏洞及安全事件的硬件监测系统,产品具备扫描快、结果准、取证全的核心特质,能帮助客户快速、全面发现其管辖区域内的安全事件,生成完整通报证据链,方便通报到相关单位以促使其快速整改,帮助监管机构有效履行监管职责。 + +ZoomEye Pro + + + +是面向企事业单位研发的一款网络资产扫描与管理系统。采用对全球测绘10余年的ZoomEye同款主动探测引擎,结合被动探测引擎,以及与ZoomEye云地联动的方式,能够全面采集内外网资产并统一管理。基于SeeBug漏洞平台、创宇安全智脑的能力,能够快速更新高威胁漏洞插件并对全部资产进行漏洞影响面分析。具备资产发现能力快速精准、资产指纹信息丰富、资产分类清晰直观、漏洞响应能力强的特点。帮助客户从攻击者视角持续发现内外网资产以及高风险问题,有效降低安全风险。 + + +为帮助您快速感知威胁,激活防御体系,守护业务安全! + + +我们建议您订阅**创宇安全智脑-威胁情报订阅服务**,获取更多威胁情报详情以及处置建议。 + + + +![](https://mmbiz.qpic.cn/mmbiz_png/zCyMfA7bc0zHreaPS2EC62fjYR1FYa37iamoFVrV6OTTgQp7bQibF3JK7SmSB59m9OG5SORnKlU4koLCABcaCo3A/640?wx_fmt=png&from=appmsg "") + +**点击阅读原文****获取更多信息** + + diff --git a/doc/史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元.md b/doc/史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元.md new file mode 100644 index 00000000..5a654b00 --- /dev/null +++ b/doc/史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元.md @@ -0,0 +1,94 @@ +# 史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元 +安全内参编译 安全内参 2024-11-28 09:58 + +**关注我们** + + +**带你读懂网络安全** + + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/FzZb53e8g7vzzKLhGXB9WIneiabs479U9en8F2TKytZRb3u5h43GcelISSAfuKEV8ckR6w1R6Dr15OFfiaTGibRYA/640?wx_fmt=webp&from=appmsg "") + + +**Uniswap Labs声称这将是“史上最高的漏洞赏金”,目前有记录的单个漏洞最高赏金记录是Web3漏洞赏金平台Immunefi声称支付的1.07亿元。** + +前情回顾·**漏洞奖励计划动态** +- [微软2024财年发放了约1.2亿元漏洞赏金:平均每个漏洞8.6万元](https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247512361&idx=1&sn=bebd3a48b23e784bdbd3263b221d4f76&scene=21#wechat_redirect) + + +- [微软2023财年发放了超1亿元漏洞赏金:平均每个漏洞8.5万元](https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247509533&idx=2&sn=6c880079a471cc8b5ce9681a833e32a0&scene=21#wechat_redirect) + + +- [谷歌2023年发放了7100万元漏洞赏金,近年累计支出超4亿元](https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247511212&idx=1&sn=9916d583c2e3125ee6f8f1f48d464987&scene=21#wechat_redirect) + + +- [谷歌2022年发放了8200万元漏洞赏金,平均每个漏洞近3万元](https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247507965&idx=2&sn=bda7939fe2acb1d0b35a3163437166e0&scene=21#wechat_redirect) + + + + +安全内参11月28日消息,国际加密货币交易所Uniswap Labs宣布,在新版交易协议Uniswap v4上线之前,将启动自称“历史上最高的漏洞赏金”计划。 + +该漏洞赏金计划现已开始实施,奖励金额范围从2000美元(约合人民币1.45万元)到1550万美元(约合人民币1.12亿元),用于发现需要修改代码的独特漏洞。 + +根据计划条款,若想获得最高奖金,漏洞猎人需要发现Uniswap v4核心合约代码中的关键缺陷或漏洞利用。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/FzZb53e8g7vzzKLhGXB9WIneiabs479U9R26AKG6GerYdcdbPkNlmPn8NLD9APgxjfVGgOUMA2MRrxkStC1zVTA/640?wx_fmt=jpeg&from=appmsg "") + +图:Uniswap Labs在推特上宣布“史上最高的漏洞赏金”。 + +“推出历史上最高的漏洞赏金!我们将为找到v4核心合约中关键漏洞的任何人提供最高达1550万美元的奖励。发现关键漏洞,成为百万富翁!” + + +**漏洞赏金计划盘点** + + + +目前尚不确定这是历史上金额最大的单个漏洞赏金。 + +作为对比,Web3漏洞赏金平台Immunefi声称,在2021年支付了**1482万美元(约合人民币1.07亿元)的单个漏洞赏金**,该平台已累计向白帽黑客和研究人员支付了超1亿美元的赏金。 + +其他高额漏洞赏金案例还包括,谷歌在2022年支付的最高漏洞发现奖励60.5万美元,该公司2022年总计支付了1200万美元的赏金。近期,微软宣布将为云和AI相关漏洞提供总计400万美元的奖励。 + +根据现有数据,如果Uniswap的1550万美元赏金被单笔领取,将成为近年来最高金额的漏洞赏金。 + +不过Uniswap Labs也提到,此前公司举办的总金额235万美元的v4安全竞赛吸引了超过500名研究人员参与,但未发现任何关键漏洞。 + +Uniswap Labs表示,这次的巨额漏洞赏金计划,是“确保v4尽可能安全的额外步骤”。 + +值得注意的是,只有发现Uniswap v4核心合约代码中导致代码更改的独特漏洞,才能获得最高的1550万美元奖金。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/FzZb53e8g7vzzKLhGXB9WIneiabs479U9VWOohAP3fO4h0Mgc5HVibvnia4Wk6dHICicYfRCoOBJiaGR8W0MpS9tbvg/640?wx_fmt=jpeg&from=appmsg "") + + +图:Uniswap Labs 1550万美元赏金计划顶级奖励要求 + +根据漏洞赏金计划信息,只有被评为“关键”的漏洞才有资格获得最高奖励。 +而对于被评为“高风险”的漏洞,最高奖金为100万美元。 +中等风险漏洞的奖励为10万美元,而低风险漏洞的奖励金额将根据具体情况决定。 + +除了核心合约代码外,该漏洞赏金计划还涵盖其他合约、网站、后端系统及Uniswap v4钱包代码中的漏洞。 + + +**参考资料:cointelegraph.com** + + +**推荐阅读** +- [网安智库平台长期招聘兼职研究员](http://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247499450&idx=2&sn=2da3ca2e0b4d4f9f56ea7f7579afc378&chksm=ebfab99adc8d308c3ba6e7a74bd41beadf39f1b0e38a39f7235db4c305c06caa49ff63a0cc1d&scene=21#wechat_redirect) + + +- [欢迎加入“安全内参热点讨论群”](https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247501251&idx=1&sn=8b6ebecbe80c1c72317948494f87b489&chksm=ebfa82e3dc8d0bf595d039e75b446e14ab96bf63cf8ffc5d553b58248dde3424fb18e6947440&token=525430415&lang=zh_CN&scene=21#wechat_redirect) + + + + + + + +点击下方卡片关注我们, + +带你一起读懂网络安全 ↓ + + + + diff --git a/doc/大模型应用实践(一):AI助力Code Review安全漏洞发现.md b/doc/大模型应用实践(一):AI助力Code Review安全漏洞发现.md new file mode 100644 index 00000000..7f19680b --- /dev/null +++ b/doc/大模型应用实践(一):AI助力Code Review安全漏洞发现.md @@ -0,0 +1,207 @@ +# 大模型应用实践(一):AI助力Code Review安全漏洞发现 +原创 腾讯啄木鸟团队 腾讯安全应急响应中心 2024-11-27 03:02 + +![](https://mmbiz.qpic.cn/mmbiz_gif/JMH1pEQ7qP4jpMV2Vj3wZOo7FMicC1lHPloKMIicIBoEEhk8YKd1p5Tvdyh9neQBuZRG9M9LBF4iceRNaxKfJw5CA/640?wx_fmt=gif "") + +大模型技术的涌现,为行业不断突破安全防护的能力上限提供了新的契机。我们在将大模型技术引入安全垂类领域方面也做了很多尝试,并沉淀形成大模型应用实践系列文章。作为该系列的开篇,本文重点介绍在代码安全领域安全左移的落地实践经验。后续还将推出更多关于大模型在研发安全、网络安全、威胁情报等方面应用的探索和总结,欢迎持续关注本公众号。 + + +隐藏在代码中的安全漏洞如同一条通往业务核心数据资产的隐秘通道,极易被黑客盯上和利用。及时识别和修复代码漏洞对防止黑客入侵和数据泄露至关重要。 + + + +借助混元大模型,腾讯啄木鸟代码安全团队在代码评审(Code Review,下文简称CR)场景下的安全漏洞检出能力取得显著提升,日均发现和阻断300+个代码安全风险,极大提升了公司核心数据资产安全性。 +# + +**一、背景** + + +代码漏洞作为一种特殊的代码缺陷,是黑客窃取数据的主要途径。业界代码漏洞导致的安全事件频繁发生。23年5月,著名文件传输系统MoveIt Transfer被曝存在sql注入漏洞,导致2095个组织和超过6200万人的数据被泄露。同样在23年5月,梭子鱼发现其邮件网关产品存在远程命令执行漏洞,且已经被黑客利用超过8个月。 + + +CR是保证代码质量的重要手段,通过CR可以在开发阶段提前发现并修复漏洞,避免漏洞流入线上造成严重数据泄露,并可极大提升漏洞风险闭环的效率。Steve McConnel在《Code Complete》中提到,通过CR能够发现高达60%至65%的潜在缺陷,而大多数测试的潜在缺陷发现率仅在30%左右。SmartBear经过实际调研发现,引入代码CR可以解决节约六成代码修复成本。 + + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX2ke9MTNJOYNhkyZ8w0aBz2Sibw6gvSdCtovxPSCqkT5yJrwlpbKVic8rA/640?wx_fmt=png&from=appmsg "") + +图1 CR阶段漏洞修复流程说明 + +由此可见,代码漏洞如果不能在上线之前及时解决,流入到线上环境后,不但对业务影响大,而且发现难度高。在CR阶段发现并修复漏洞,能够更及时、高效地避免漏洞引发的安全威胁,保障业务安全稳定运营。 + + +**二、传统代码漏洞检测方法的弊端** + + +代码本质上是一种高维的自然语言。在大模型技术涌现之前,代码漏洞检测主要依赖静态分析:先将代码解析成低维的语法结构,通过数据流和污点分析对代码进行扫描,检测代码中的漏洞。静态分析通常需要提供漏洞完整的上下文信息,包括source点(用户控制入口)、sink点(漏洞作用位置)和数据流(传播路径),因此只适用于项目级代码扫描。 + + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX2YiaicZib7w4y23rLnc0VPF5g1PpJD3XBqOn7p4N0tibNSicBYicSicaNxLgqQ/640?wx_fmt=png&from=appmsg "") + +图2 代码静态分析流程图 + +CR 场景中,用户合入的代码通常是代码片段,只包含项目代码中的一小部分。直接使用静态分析方法扫描整个项目,以检测合入代码的漏洞情况,会引入大量冗余的扫描动作,效率极低。据统计,静态分析工具对项目级的扫描耗时平均需要20分钟以上。如果用户合入代码后,需要等待几十分钟,甚至数个小时才能获取代码扫描结果,这远远无法满足开发人员快速迭代的要求。而如果只基于合并的代码片段进行漏洞检测,由于没有完整数据流,静态分析方法难以奏效。 + + +得益于大模型天然的代码理解和分析能力,将代码漏洞检测回归到语义层面理解,为代码片段的漏洞检测问题提供了新的契机。 +# + +**三、大模型应用于片段代码漏洞检测的可行性探究** + + + +**(1)利用大模型代码理解能力分析代码功能** + +CR 场景下检测代码漏洞的基础是理解代码功能。以 SQL 注入为例,检测 SQL 注入风险的关键是识别不合理的SQL语句拼接。然而变量命名、函数用法等在代码层面有各式各样的写法,单纯从语言规则层面难以辨别。 + + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX2kBVS9nJIicpDxVp61pfFCuZsv5zBJmk06XFRm7JCOCFJYoo5JNaaxjw/640?wx_fmt=png&from=appmsg "") + +图3 大模型对各式各样的SQL代码拼接识别情况示例 + +利用大模型在代码理解方面的强大能力,可以正确识别此类代码功能。 + + + +**(2)利用大模型上下文理解能力分析数据流** + +虽然代码片段缺乏项目级数据流,但是我们依然需要基于代码片段的上下文,分析是否存在sink 点信息是否会被外部可控。例如数据是否从安全的上下文中获取,或者代码片段中是否存在过滤函数等。 + + + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX2V4YuLvrXmWXaI96YQUianVIYicib2ladoNYL5uFSenJ6icYk0sqcrwt7Hw/640?wx_fmt=png&from=appmsg "") + +图4 利用大模型上下文理解能力分析数据流示例 + + + +利用大模型,可以准确捕获代码片段的上下文信息,并且聚焦与漏洞相关的代码,规避漏洞误报,提高漏洞检测准确率。 +# + +**四、基于大模型的CR场景代码漏洞检测落地实践‍‍** + + +从上文可知,大模型的通用代码理解能力为代码漏洞检测提供了良好的基础。接下来我们详细介绍如何设计代码漏洞检测提示词,从而更好地发挥大模型的能力。 + + + +**(1)CoT提升大模型漏洞检测推理能力** + +借鉴思维链(Chain-of-Thought,简称CoT)思想,在提示词中给出漏洞检测详细且明确的推理过程示例,并引导大模型按照步骤逐步分析。 + + + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX2k8jIHnyhLRvKibgNupdiaHvWuMn0FvILdqib9p5DjichQRicDDORcEAKY5Q/640?wx_fmt=png&from=appmsg "") + +图5 利用思维链提升大模型检测推理能力示例 + + +由于大模型会将已输出的内容作为上下文的一部分,因此显式输出推理过程可以有效引导大模型得到正确结果,显著提升结果准确性。 + + + +**(2)大模型与传统规则相结合** + +即使提供了详细的推理步骤,但是大模型还是存在偶发事实认定错误的情况。例如在明文账密的场景,只有当账密直接暴露在代码中,才有泄露风险。但是大模型会偶发识别错误,将变量认定成字符串常数,从而认为存在账密泄露问题。 + + + +这种现象存在一定随机性,难以通过固定 prompt 模板彻底解决。起初,我们尝试利用规则的方式消除这种随机性带来的误报。然而在代码域难以用规则或正则全部枚举所有情况。 + + +因此我们借助大模型的代码理解和生成能力,先让大模型将关键代码内容按照指定模式输出,然后在一个固定模式下,通过规则规避误报情况。 + + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX2gU4U7b9AFr3Zd0goCmOUx3Kw3bHLrujheqrdsBFxBnVlNZECvJfGUA/640?wx_fmt=png&from=appmsg "") + +图6 大模型+传统规则实现明文密钥硬编码检测示例 + + + + +**(3)大模型输出结果结构化** + +如何让大模型输出结构化的结果是一个常见的问题。 + + + +在CR 漏洞检测场景中,我们在代码存在漏洞的情况下,需要向用户反馈结果,并提示漏洞所在具体的代码行、漏洞类型、漏洞描述。由此可知,CR 场景要求大模型反馈的信息较多且结构化要求高。 + + +初期我们尝试了让大模型在每一部分加入指定前缀,便于后续内容解析,但是经常遇到大模型不按指定格式输出的情况。如:增加换行、冒号等字符,输出格式外的额外信息等,最终导致解析失败。 + + +为了解决这一问题,我们选择让大模型按照 json 格式输出。由于 json 是一种通用的结构化数据,大模型经过广泛的预训练可以很好输出 json 格式数据,使得输出结果更加准确。 + + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX2RGpOdS5hYXjrwpS0NDpVlJhrtdn9Ydqb9w2qRAeD640Ao72JcShPibQ/640?wx_fmt=png&from=appmsg "") + +图7 大模型结构化输出示例 + + +**五、CR场景漏洞检测效果** + + +经过多轮优化,漏洞检出准确率提升 69%(26%->95%),日均发现 300+个代码安全风险,可起到在代码上线前提前阻断风险的效果。 + + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX2QibNsx6MibnAeicUlAVLVGLIqS5KBErbglRCmuQ46YGyNcrH57hzNupxA/640?wx_fmt=png&from=appmsg "") + +图8 大模型应用于CR场景漏洞检测效果说明 + + +**典型案例 1:** +成功检出某业务Web前端代码中存在AKSK硬编码。若直接发布到线上环境,黑客扫描网页即可获取相应AKSK,进而使用该账号下的所有资源。可能造成严重的数据泄露事故。 + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX29EZft4Y6redjGCKJeRRP9qOueiajcLiaFAWiakpXUPlF6phbbrMTkQXgw/640?wx_fmt=png&from=appmsg "") + +图9 Web前端代码中存在AKSK硬编码漏洞的危害说明示意图 + + +**典型案例2:** + 某订单系统项目中,业务同学在提交代码时直接将上游变量拼接到 SQL 语句中,引入SQL注入漏洞,被模型成功检出。若该缺陷代码发布到线上环境,黑客可从客户端入口构造恶意输入,进而直接操作后端 DB,窃取用户信息和订单信息,获取业务核心数据。 + +![](https://mmbiz.qpic.cn/mmbiz_png/JMH1pEQ7qP7vOSnAomwERaSD660yjGX2Q1aVQGX40EW4aJYXVYcoqAVBdTeT0k3cP8OJN0OB6QWRT8vhjBbEfQ/640?wx_fmt=png&from=appmsg "") + +图10 订单系统代码中SQL注入漏洞的危害说明示意图 +# + +**六、总结和展望** + + +本文主要介绍了传统静态分析方法应用于CR场景漏洞检测的弊端,以及基于混元大模型底层技术和专家规则结合的方案在该场景的落地实践和提升效果。 + + +在相关工作的落地过程中,还有很多问题值得我们进一步深入探索和解决。以下问题如有兴趣,欢迎一起交流探讨。 + + + +**(1)长上下文失焦问题** + +随着覆盖的漏洞种类的增多,每种漏洞都需要在 prompt 中指定分析步骤,平均每个漏洞规则需要 500+token 描述,加上用户输入的代码片段,进一步增加了上下文长度,这会导致大模型更容易遗忘 CoT 中的重要步骤,无法按照预期步骤推理,影响结果准确性。 + + + +**解决思路:** +这一问题可以借鉴 MoE 模型的思路,针对多种多样的漏洞场景构建一个 MoE 模型,每个子模型单独解决一类漏洞问题,不仅可以减少上下文数量,还可以针对不同漏洞针对性设计prompt和输出格式,更加灵活精准。 + + + +**(2)大模型幻觉问题** + +幻觉问题是大模型落地过程中常见的问题,某些情况下,大模型会无中生有、编造事实,影响结果准确性。虽然从整体来看,大模型的幻觉问题发生概率非常低,但是特定场景下的幻觉问题不可避免。 + + +**解决思路:** +幻觉问题可以通过多模型投票方案解决。 + + + +**(3)格式化输出的副作用** + +格式化输出会在一定程度上限制大模型的推理能力,从而影响CoT 的效果。有研究人员提出,格式化输出和 CoT 兼容的方法是二次转换,先让大模型自由发挥,然后再利用大模型将生成结果转换成 json 格式。但是这无疑会增加 CR 的整体耗时和大模型调用次数。 + + + +**解决思路:** +这一问题可以通过调用两次模型解决,第一次不限制输出格式,提高解决准确性,第二次基于第一次输出的事实,只做简单的总结和格式化输出,提高结果可用性。 + diff --git a/doc/新书来了!《Web漏洞分析与防范实战(卷1)》正式发售.md b/doc/新书来了!《Web漏洞分析与防范实战(卷1)》正式发售.md new file mode 100644 index 00000000..9851081d --- /dev/null +++ b/doc/新书来了!《Web漏洞分析与防范实战(卷1)》正式发售.md @@ -0,0 +1,160 @@ +# 新书来了!《Web漏洞分析与防范实战(卷1)》正式发售 + 知道创宇 2024-11-28 09:04 + +1 + +**文末有赠书福利~** + +![](https://mmbiz.qpic.cn/mmbiz_png/Oan15mBs7fP5dd56tNe5XibibNRagCDtl6o5YqQoRbuXMicHskLN8fcJm9It9E7paFFSAKAwEzWwpnz23aLAu3XYQ/640?wx_fmt=png&from=appmsg "") + + +” + + + +在过去的三十年里,Web技术经历了迅猛的发展,其影响力已经深入到公共和个人生活的方方面面。全球数以亿计的用户依赖于Web技术来获取信息、进行交易、社交互动以及娱乐活动。尽管万维网的开放性和互联性促进了信息的自由流通,但这些特性也使其成为了黑客攻击的目标。 + + +每年,Web页面和应用程序中的安全漏洞数量持续攀升,导致Web应用频繁遭受各种恶意攻击。 +这不仅对网络和数据安全造成威胁,也给国家安全、社会稳定和人民财产安全带来了严峻挑战。 + + +” + + +**著书初衷:献技术之智,共筑安全之基** + +**** +面对这样严峻的形势,我们深刻意识到,随着信息在网络应用中的快速传递,Web应用的安全性面临着更高要求,研究Web漏洞具有迫切的现实意义。漏洞防范与治理工作关乎着国家网络空间的安全和数字经济的健康发展,其紧迫性和重要性不容忽视,必须要有足够的重视和投入。 + + +并且,Web安全领域是一个不断发展的领域,新的攻击方式与漏洞可能会不断出现。 +因此, +需要有紧跟Web安全最新趋势的专业人士,积极促进先进技术的分享与交流,确保企业和专家在实战攻防中所积累的宝贵经验得以广泛传播,从而助力行业增强应对漏洞挑战的能力。 + + +![](https://mmbiz.qpic.cn/mmbiz_jpg/Oan15mBs7fNk3TelA4aqdy7ReXDdWmCa6IKArusraG3QicX7AaYk873V9zgNlfr81OSqscibLgaEmfT05DQulIiaw/640?wx_fmt=jpeg&from=appmsg "") + + + +- 正是基于这一初衷,我们萌生了撰写一本关于Web漏洞书籍的想法。**知道创宇持续专注网络安全实战对抗,认为漏洞是网络攻防的基石。**因此自成立以来便长期在漏洞安全研究领域积攒核心能力。 + +知道创宇404实验室专家团队响应漏洞事件以**“快、准、狠”**著称,在漏洞管理、安全研究及技术创新等方面具备专业优势 +,多年来也持续在网络安全领域进行漏洞挖掘、漏洞研究、安全工具的开源分享与推广。因此,**我们有信心将我们的技术与经验凝聚成一部具有实战指导意义的书籍,为Web安全领域的发展贡献一份力量。** + + + +![](https://mmbiz.qpic.cn/mmbiz_jpg/Oan15mBs7fP5dd56tNe5XibibNRagCDtl6CAEZSjQruPmt935KGE9Dm0r0GAdIlyrddnu0RkibsbwW7iaWtFIibBRGg/640?wx_fmt=jpeg&from=appmsg "") + + +在正式动笔之前,我们深入思考的一个关键问题是: + + +**究竟怎样的书籍才能切实满足行业内的实际需求?** + +**** +为此,我们进行了广泛调研,调研对象涵盖了学生、专家、网络安全从业者以及监管部门人士。结果显示,**专业性、实用性、可读性**是他们共同的诉求。虽然这三者看似难以兼顾,但实则是对一本优秀书籍的基本要求——既要具备普适价值,避免晦涩难懂的专业术语和复杂技术细节,又要内容充实、干货满满。 + + +同时,**“实战指导意义”**和**“精进技术”**是被众多调研者提到的重要关键词。这进一步反映了读者的真实需求: + + +**他们亟需一本能够针对实际工作中遇到的安全难题,提供实用且高效解决策略的实战型指南。** + + +为满足上述需求,**知道创宇****CEO赵伟与CTO杨冀龙携手带领知道创宇404实验室团队**,历经数年的潜心研究与不懈努力,推出《Web漏洞分析与防范实战(卷1)》这一力作。此书凝聚了知道创宇404实验室多年攻防研究成果和实战经验,更承载着知道创宇为构建更加安全、可信的网络环境而努力的初心。希望通过这样一本融合了深厚实战经验和丰富系统性知识的书籍,为漏洞的防范与治理贡献一份力量。 + +**1** +►  + **深度解析,实战为先** + +读者的实际需求为本书的创作提供了明确导向。在撰写此书过程中,特别注重以真实案例为基础。全书每个章节均围绕实际案例展开,深入剖析案例中的漏洞根源、攻击流程以及防御策略,旨在让读者通过生动具体的实例,直观掌握网络安全的实战技巧与核心要领。 + +**2** +►   +**工具介绍,快速上手** + +基于深刻理解行业需求,本书尤为注重工具与技术的介绍。书中特辟专章,详细介绍现代化的防御工具体系,旨在帮助读者快速上手,将理论知识转化为实战能力,提升网络安全防护的实战水平。 + +**3** +►  + **广泛适用,提升技术** + +在写作风格上,采用通俗易懂的语言,避免过多的专业术语和复杂的技术细节,力求让即使没有计算机专业背景的读者也能够顺利阅读和理解。本书的**受众范围广泛**,无论是**学生、网络安全领域的从业者,**还是**监管部门的相关人员**,都能从中获得知识。对于初学者而言,本书将为其提供一个系统的学习路径;对于专业人士而言,本书则能够成为他们提升专业技能的重要工具。 + + + + + + + + +**通过学习本书,可以获得以下知识:** + + +1、从前端安全方向真实案例中总结出的知道创宇实验室的前端安全攻击和防护的相关思路 + + +2、从各种后端安全漏洞的真实案例中总结出的不同类型漏洞的攻击方式和防御方法 + + +3、各类客户端和服务端中存在的文件读取漏洞 + + +4、渗透测试中常见的各种攻击手段和防御策略 + + +5、以Pocsuite3的流量监控规则来预防、检测和响应安全威胁的重要手段 + + +6、利用防御工具如Pocsuite3和pfSense防火墙来构建强大网络安全防线 + + +7、现代防御体系中10个具有代表性的领域的基本防御思路、防御效果和常用工具 + + +![](https://mmbiz.qpic.cn/mmbiz_png/Oan15mBs7fP5dd56tNe5XibibNRagCDtl66spehcjDTUBiaGj2mqtiafZWQxGibKn5U2oMNzL0OUCUWrvsLWHicUVDpg/640?wx_fmt=png&from=appmsg "") + + + +**致敬所有404实验室成员** + +**** +本书精心编纂,**汇聚了404实验室历届成员的技术精粹与实战经验,深刻体现了技术精髓的积淀与传承。**在正式出版前,我们特邀多位404实验室前资深成员进行审阅,力求使内容更加贴近实际需求,增强其应用价值与实战指导意义。他们阅读后纷纷给予认可**。** + + +![](https://mmbiz.qpic.cn/mmbiz_png/Oan15mBs7fNk3TelA4aqdy7ReXDdWmCad1BJxoM6HhLhUXa54MNia9jVtxTgtkQQia4CGG5rrPiamq50tQMdGAflQ/640?wx_fmt=png&from=appmsg "") + + + + +漏洞作为网络空间安全的重要资源,与国家网络安全息息相关。我们希望通过本书分享**漏洞的识别、分析和修复技巧**,分享最新的安全技术,助力网络安全人才的专业素质和实战能力的提升。网络安全无小事,每一项技术的突破,每一次防御的提升,都是对国家安全的坚定捍卫,对人民福祉的深切守护。自始至终,知道创宇坚守初心,矢志不渝,希望携手行业大众,共同推动构建一个更加安全稳固、值得信赖的网络空间。 + + +**如果你对本书感兴趣** + +**欢迎扫码或点击下方“阅读原文”购买:** + +**新书发售,享** +**7折** +**优惠** + +**** +![](https://mmbiz.qpic.cn/mmbiz_jpg/Oan15mBs7fP5dd56tNe5XibibNRagCDtl6pjkK18UVsibErQEnhGTqrz5VPShyQibjN57gqEQniaykCEdziazDMDDScQ/640?wx_fmt=jpeg&from=appmsg "") + + +**福利活动** + + + +**转发本文至朋友圈,获得** +**30个点赞****并将截图发送至知道创宇公众号后台的** +**前10位小伙伴****,将获得赠书一本。** + + +![](https://mmbiz.qpic.cn/mmbiz_gif/Oan15mBs7fP5dd56tNe5XibibNRagCDtl66fAdI4Lrc8tF27PriaAa6ROm1GfJZuZf7lQCcwaVxxKJG1KxGopDFSg/640?wx_fmt=gif&from=appmsg "") + +**点击“阅读原文”购买** + + + diff --git a/doc/构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会.md b/doc/构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会.md new file mode 100644 index 00000000..8bee09df --- /dev/null +++ b/doc/构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会.md @@ -0,0 +1,60 @@ +# 构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会 + 梆梆安全 2024-11-28 08:01 + +![](https://mmbiz.qpic.cn/mmbiz_gif/YpfGdibD1mRlEhUENIEoRKT24icXeO3JJwibGtsO8Joic50gqlSvLmCHJreMjPSJ65ya8RqWGTpurGMxXM3xJN7faQ/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp "") + +2024年11月27日,**由中国计算机学会计算机安全专业委员会指导,国家信息中心下属《信息安全研究》杂志社**主办的“2024网络安全创新发展大会”在北京成功召开。大会以“数实融合 安全赋能”为主题,重点围绕数字中国建设、数字安全治理等方面议题展开讨论。**梆梆安全受邀参加本次大会,并与现场嘉宾分享《政务应用全渠道业务及数据安全防护》。** + +![](https://mmbiz.qpic.cn/mmbiz_jpg/YpfGdibD1mRm5AyD2yanvJAp4eQMNJbUh7foFnYZAAbBN5oTwMulAzic7HlQhhpyib9QaCg4M55Jc4mtFfiapcBLFQ/640?wx_fmt=jpeg&from=appmsg "") + +会上,国家信息中心办公室副主任吕欣公布了新增编委会委员名单,**鉴于在信息安全领域的高深造诣和学术成就,特聘梆梆安全创始人、董事长兼CEO阚志刚担任《信息安全研究》编委会委员。** + +![](https://mmbiz.qpic.cn/mmbiz_png/YpfGdibD1mRm5AyD2yanvJAp4eQMNJbUhjvAydyFJFyHa5ico4GaGcvl1RRyQyJtLAkhiaSCpdiauoWAlicDUg6icS3A/640?wx_fmt=png&from=appmsg "") + +梆梆安全产品中心总监谭阳表示,随着数字政府的快速发展,政务服务的业务类型和数量呈现爆发式增长,**一方面线下业务线上化,**传统的柜面业务在不断往线上迁移,线上业务的丰富程度正在爆发式增长,逐渐成为企业的重要业务通道;**另一方面线上渠道多样化,** +暨APP之后,企业也在逐步推出更多的轻量化应用形态,如小程序、公众号、H5链接、SDK等。 + +![](https://mmbiz.qpic.cn/mmbiz_jpg/YpfGdibD1mRm5AyD2yanvJAp4eQMNJbUhHwjke9051icUAFPAP9105gnxibjlnC4N5mReTmCGuZ7v9A8jytTEwvBg/640?wx_fmt=jpeg&from=appmsg "") + +风险也随之而来,从2023年对客渠道的黑灰产攻击趋势跟踪上来讲,**针对轻应用、API的攻击趋势逐渐增大,主要风险为数据泄露、薅羊毛、电信诈骗、洗钱等。**针对移动端的安全威胁类型也趋于多样化,包括定制ROM、云手机、注入攻击、内容篡改、参数篡改等。**梆梆攻击库已收集、分析1400+个攻击框架、工具,并以每月平均20个在增加,** +给电子政务移动安全带来极大挑战。 + +同时在监管侧,我国在政务服务领域出台多项网络安全法律法规和政策文件,2023年6月,为推动《数据安全法》《密码法》和等级保护2.0的相关要求在移动政务领域的落地,**国家信息中心牵头编制GB/T 35282—2023《信息安全技术 电子政务移动办公系统安全技术规范》,****聚焦政务办公和政务服务两大移动应用场景,重点解决政务移动办公终端、通信、接入、应用、数据等方面安全问题。** + +基于此,梆梆安全基于“端到端的全渠道风险防护”技术理念,遵循动态自适安全防护模型,结合政务终端安全接入具体需求,提出**构建面向电子政务移动安全的主动防御体系,建立涵盖预测、防护、检测、监测、响应等维度的全方位安全能力,有效提升政务服务系统的整体安全性和合规性。** + +![](https://mmbiz.qpic.cn/mmbiz_jpg/YpfGdibD1mRm5AyD2yanvJAp4eQMNJbUh8GYLrtzMU3lHQ2nBvVXl8YL4cF9KbNibFNia3EUrcTS24vara79TkTyg/640?wx_fmt=jpeg&from=appmsg "") + +**在应用发布之前通过自动化及人工的检测服务,解决应用的合规及已知安全漏洞,** +并利用梆梆的各类代码加密保护技术,实现最大程度的应用自保护,防止应用发布后的破解、反编译及二次打包。 + +**在应用发布后,通过端到端结合的风险监测技术,及时发现生产系统上各类型的攻击行为,** +包括违规使用风险、人脸绕过风险、黑客渗透攻击风险、数据安全风险、违规外链及内容风险等。将前端风险感知与后端流量感知结合,实现端到端的安全协同。 + +**针对前端风险的防御机制需做到实时防御,** +同时防御措施需要多样化,需覆盖不同业务渠道,不同渠道安全防御能力也能联防联控,如针对APP的攻击识别情报能够同步对轻应用侧协同。 +**梆梆安全全渠道政务应用安全保护方案已经能够全面覆盖:Web、H5、小程序、Android、iOS、鸿蒙NEXT等政务全渠道,**帮助客户建立全面的安全防护。 + +梆梆安全全渠道政务应用安全保护方案已在国家多个省、地市级政务服务平台安全建设中落地应用, +**满足电子渠道攻击监测溯源、市民卡充值业务反洗钱、电子渠道零信任安全体系、敏感数据防泄漏等政务移动终端场景安全建设需求,**切实保障政务移动办公、公众政务服务等移动业务的安全运行,为数字政府和智慧政务的稳健发展提供了有力支持。 + +![](https://mmbiz.qpic.cn/mmbiz_png/YpfGdibD1mRnbdum7MFpicgvt5icVaX0Jsibv11OCV3XwPgBjNJPTfcBsJrRqib8tnyyw5ky47KugPBNxoGVH449s7Q/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + +**梆梆安全展位现场** + +**** +![](https://mmbiz.qpic.cn/mmbiz_jpg/YpfGdibD1mRm5AyD2yanvJAp4eQMNJbUhqsILmia2sjj3od8MYr65rhtIUuiaMt4aYoRgHLicn02yJjmJM390FtJPQ/640?wx_fmt=jpeg&from=appmsg "") + +![](https://mmbiz.qpic.cn/mmbiz_jpg/YpfGdibD1mRm5AyD2yanvJAp4eQMNJbUhNET4N8lvAGO1rVsql8sbFg5yt5t0nnmbbYvqJ1BY8WHe12B8NxRdOA/640?wx_fmt=jpeg&from=appmsg "") + +**<** + +**滑动查看下一张图片** + +**>** + +推荐阅读Recommended>亮相数字政府安全建设大会,梆梆安全构建电子政务移动安全主动防御体系>电子政务&智慧城市案例集# >第六届数字中国建设峰会,梆梆安全「构建电子政务移动安全的主动防御体系」成功入选智慧城市案例集 + + +![](https://mmbiz.qpic.cn/mmbiz_png/YpfGdibD1mRnDY5407c6UFGMlacqbuQrzVRU5sgjicTxqFdSDRLzgbfM5BibmVpNibL7Wlia0630UxgBIGaX18IJzqQ/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + diff --git a/doc/漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477.md b/doc/漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477.md new file mode 100644 index 00000000..4fa02841 --- /dev/null +++ b/doc/漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477.md @@ -0,0 +1,38 @@ +# 漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477 +永恒之锋实验室 Eonian Sharp 2024-11-28 10:50 + +**1** + +##     + +**漏洞描述** + + +7-Zip是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式,7-Zip中修复了一个代码执行漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。 + +7-Zip Zstandard解压缩实现中存在漏洞,由于对用户提供的数据缺乏适当验证,可能导致在写入内存前发生整数下溢,攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压,当目标用户使用受影响的7-Zip解压缩该文件时可能触发漏洞,从而可能导致在受影响的7-Zip安装上执行任意代码。 + +![](https://mmbiz.qpic.cn/mmbiz_png/ibhQpAia4xu03euG8drpIbnibDbPGlPpvlDMGIbnibDgggVmgk2nSXdIID3lUyysvCRHfUk9HZqxD8XicX2HsYjWemw/640?wx_fmt=png&from=appmsg&wxfrom=13&tp=wxpic "") + + +**2** + +##     + +**影响范围** + +7-Zip <24.07 + + +**3** + +##     + +**修复建议** + +升级版本目前该漏洞已经修复,受影响用户可升级到以下版本: + +     7-Zip >=24.07 + +https://www.7-zip.org/ +