JAS上下文分析WebGoat应用程序

测试最不安全的Docker应用的实际安全性

我们之前对顶级DockerHub映像中CVE可利用性的研究发现,报告的CVE中有78%实际上是不可利用的。这一次,JFrog安全研究团队使用JFrog Xray的上下文分析功能,自动分析报告的cve的适用性,来扫描OWASP WebGoat——一个故意不安全的应用程序。结果表明……

在使用Rust流行的Hyper包时要注意DoS

在使用Rust流行的Hyper包时要注意DoS

JFrog安全研究团队不断在流行的开源项目中寻找新的和以前未知的漏洞和安全问题,以帮助改善他们的安全状况,并保护更广泛的软件供应链。作为这项工作的一部分,我们最近发现并披露了流行Rust项目中的多个漏洞,如Axum、Salvo和…

最新的LastPass安全漏洞亮点

最新的LastPass安全漏洞突出了开发人员作为高价值目标

去年8月,基于云的密码管理工具LastPass的维护者报告称,他们的服务器存在安全漏洞。披露坚持认为,未经授权的一方通过一个受损的开发人员帐户获得了访问LastPass开发环境的权限。然而,虽然源代码和技术信息被盗,但没有用户数据被泄露,也没有……

PyPI恶意软件开始采用反调试技术

PyPI恶意软件创建者开始使用反调试技术

JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。今天,大多数PyPI恶意软件都试图使用各种技术来避免静态检测:从原始的变量篡改到复杂的代码平坦化和隐写技术。…

CVE-2021-38297 - Go Web Assembly漏洞分析

CVE-2021-38297 - Go Web Assembly漏洞分析

JFrog安全研究团队持续监控开源软件(OSS)中报告的漏洞,以帮助我们的客户和更广泛的社区了解潜在的软件供应链安全威胁及其影响。在这样做的过程中,我们经常注意到值得强调的重要趋势和关键经验。以下是对在…中发现的漏洞的分析

Pwn2Own工业黑客大赛(#2)

满足我们在OPC UA工业栈中的远程代码执行方式

JFrog安全团队最近参加了Pwn2Own迈阿密2022黑客竞赛,该竞赛的重点是工业控制系统(ICS)安全。我们的竞争研究目标之一是基于c++的统一自动化OPC UA服务器SDK。除了我们在pwn2own竞赛中披露的漏洞之外,我们设法找到并…