Exploit-DB,全名 Exploit Database,是个开源性质的漏洞数据库,在里头汇聚了海量公开的系统漏洞以及对应的漏洞利用代码,也就是常说的 Exploit。这些漏洞遍及各个领域,不管是常见的操作系统,还是五花八门的应用软件,亦或是各类硬件设备,无一幸免。 毫不夸张地讲,它已然成为渗透测试人员、黑客群体以及安全研究员手头离不...
OpenCVE是一个开源项目,旨在帮助用户跟踪和管理其软件和系统中的安全漏洞。它的核心原理是通过集成多个漏洞数据库,自动化地收集和更新漏洞信息,并允许我们根据各种条件搜索、过滤和组织他们,从而为用户提供实时的安全态势感知。 OpenCVE漏洞界面 我在写这篇文章时,OpenCVE刚好完成了v2版本的发布,这个新版本是对v1的完全...
近日,Google公司发布安全公告修复了libwebp开源库远程代码执行漏洞。libwebp的BuildHuffmanTable函数在使用霍夫曼算法(Huffman)对Webp图片进行解码时,由于缺少必要的输入验证,存在内存越界写入缺陷。未经身份认证的攻击者通过制作恶意页面或文件,诱导用户浏览访问执行越...
参考消息网12月24日报道据美国连线杂志网站报道,近日,互联网经历了一次地震事件。由于开放源代码库Log4j中存在漏洞,世界各地大量服务器突然遭到相对简单的攻击。第一波黑客攻击正在进行,但你真正应该担心的是下一波攻击。到目前为止,Log4j黑客行动中冲锋在前的主要是加密货币挖矿机,也就是从受影响系统中抽取资源开采...
您正在开发的应用程序中是否存在开源组件漏洞? 昨天交付的应用程序呢? 每年都会报告数以千计的开源组件漏洞被发现。但与商业软件不同,没有所谓的开源组件供应商可以随时告知您或确保您使用全新的安全更新的开源组件。您必须自己保护自己。 Black Duck 的漏洞数据库全面展现了您正在使用的开源中的已知漏洞,并在出现新漏...
OSV.dev 是一个开源的漏洞数据库和漏洞分级服务。它通过提供一个可用的API,让开发者能够轻松地扫描他们的依赖项,检查它们是否存在已知的漏洞。以下是OSV.dev的主要功能:1. **漏洞数据库**:OSV.dev维护了一个全面的漏洞数据库,涵盖了多个开源生态系统和包管理格式(如lockfile、SPDX等)。这个数据库使用OpenSSF OSV...
在最近的网络安全研究中,知名开源软件wordpress所属公司检测针对Apache Commons Text中新披露的漏洞的利用尝试。根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该漏洞的漏洞号为 CVE-2022-42889(Text4Shell),在 CVSS 等级上的严重性评分为 9.8(满分为10),并影响该库的 1.5 至 1.9 版本。该漏洞...
Vulncode-DB是一个漏洞数据库及其相应的源代码(如果可用)开源项目。数据库使用用户提供的有关补丁链接,易受攻击的代码片断和描述,信息扩展了NVD / CVE数据集。它由google维护并管理。主要实例托管在vulncode-db.com上。 Vulncode-DB 请注意:Vulncode-DB不是官方支持的Google产品,这是一个实验性的alpha版本,主要用于...
Google今天宣布扩展开源漏洞(OSV)数据库,使用“精确描述漏洞”的统一模式纳入Python、Rust、Go 和 DWF 等更多开源项目的数据。虽然开源软件存在诸多优势,但漏洞问题也日益突显。 绝大多数代码库至少包含一个已知的开源漏洞,而本周的一份报告认为更多的时候,开发人员在将第三方库纳入他们的软件后并没有更新它们。该报告...
Google于今年2月发布了开源漏洞(Open Source Vulnerability,OSV)数据库,以提供开源项目的漏洞信息,包括漏洞的存在与修补之处,迄今已支持数百种开源项目,本周Google进一步扩展OSV,宣布纳入Python、Rust、Go与DWF等4个大型开源项目,同时推动统一的漏洞数据库机制。Google说明,OSV的目的之一是协助用户不需要耗费大量...