静态源代码安全扫描工具测评结果-Checkmarx 

测评背景  随着数字技术的进步，网络安全行业日益发展，企业对于DevSecOps的应用和落地的需求日益增加，静态源代码安全扫描工具已成为其中的关键产品或工具。 2023年…

静态源代码安全扫描工具测评结果-SonarQube 

测评背景随着数字技术的进步，网络安全行业日益发展，企业对于DevSecOps的应用和落地的需求日益增加，静态源代码安全扫描工具已成为其中的关键产品或工具。2023年5月30日，OWASP中国基于目前行…

Apache Commons Compress内存耗尽漏洞 CVE-2021-35516 

0x01 概述Apache Commons Compress是一个开源的Java组件，用于处理各种压缩和归档格式，如ZIP、Tar、7z、gzip、bzip2等等。它提供了一套简单而灵活的API，使开…

代码审计 | 同源策略的绕过 

 1. 示例代码<!-- oauth-popup.html --><script>const handlers = …

PyPI恶意存储库fshec2攻击分析 

0x00 事件背景PyPI（Python Package Index）是Python官方的包索引和分发平台。它是一个公共的、全球性的存储库，用于存储、发布和安装Python包和模块。PyPI允许开发者…

KeePass 内存泄露主密码漏洞分析 

漏洞背景0x00KeePass是一款开源密码管理软件。它旨在帮助用户存储和管理他们的密码和敏感信息，以便安全地访问各种在线服务和应用程序。KeePass提供一个安全的数据库，其中可以存储用户名、密码、…

3CXDesktopApp供应链攻击分析 

一、事件背景3CX是一家软件公司，该公司为客户提供基于软件的电话系统，用于企业或组织内部的通讯。3CX电话系统可以在Windows或Linux服务器上部署，并提供包括VoIP、PSTN和移动电话在内的…

WECHAT二维码闪退分析 

作者：hu1y40（洞源实验室，安全工程师） 一、 事件背景腾讯旗下的微信是一款社交通讯应用程序，由中国互联网巨头腾讯公司开发和运营。作为一款领先的社交应用，微信在全球范围内拥有大…