unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Search
Rss
黑夜模式
Insecure credential storage plagues MCP
文章指出许多MCP环境将长期API密钥以明文形式存储在本地文件系统中,并赋予世界可读权限。这种做法使攻击者通过恶意软件、漏洞利用、多用户系统或云备份等多种途径窃取密钥。文章分析了两种常见获取路径:配置文件和聊天日志,并建议采用OAuth和安全存储API提升安全性。...
2025-4-30 07:0:0 | 阅读: 0 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
mcp
security
figma
claude
attacker
Deceiving users with ANSI terminal codes in MCP
文章揭示了MCP服务器中利用ANSI终端转义码隐藏恶意指令的安全漏洞,可能导致供应链攻击和用户信息泄露。...
2025-4-29 13:0:0 | 阅读: 6 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
mcp
x1b
ansi
malicious
attacker
How MCP servers can steal your conversation history
文章揭示了模型上下文协议(MCP)中的漏洞,攻击者通过注入触发词到工具描述中,可在用户输入特定词汇时窃取完整的对话历史。这种攻击方式隐蔽性强,可针对特定目标如金融机构和政府机构实施。...
2025-4-23 14:30:0 | 阅读: 1 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
mcp
malicious
security
phrase
Jumping the line: How MCP servers can attack you before you ever use them
文章揭示了Model Context Protocol (MCP)中的一个严重漏洞“line jumping”,该漏洞允许恶意服务器在工具被调用前通过工具描述注入恶意指令,绕过安全机制。此漏洞破坏了MCP的核心安全原则,并可能导致数据泄露或系统受损。建议用户仅使用可信来源的MCP服务器,并审查工具描述以防止潜在威胁。...
2025-4-21 14:30:0 | 阅读: 12 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
mcp
security
malicious
jumping
client
Kicking off AIxCC’s Finals with Buttercup
DARPA的AI网络挑战赛决赛中,参赛队伍利用增强的资源和灵活性应对多种安全挑战。预算和时间增加,允许使用自定义AI模型和自主基础设施。比赛分为多轮展览赛和最终得分赛,推动系统适应性与创新。...
2025-4-21 13:0:0 | 阅读: 9 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
competition
analysis
budget
aixcc
Sneak peek: A new ASN.1 API for Python
文章介绍了ASN.1在加密和网络协议中的重要性及其在Python中的实现挑战。为了解决性能、安全性和现代化问题,PyCA Cryptography正在开发一个基于Rust的新ASN.1 API,支持数据类风格接口,并与现有X.509解析器集成以减少安全风险。...
2025-4-18 13:0:0 | 阅读: 12 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
python
asn1
pyasn1
pyca
doohickies
Mitigating ELUSIVE COMET threats: Protecting against Zoom remote control attacks
文章描述了一起由威胁组织ELUSIVE COMET发起的社会工程攻击事件,其利用Zoom远程控制功能伪装成媒体邀请对高管实施钓鱼攻击。文章揭示了该组织的攻击手法,并提供了包括技术控制和员工培训在内的防御建议。...
2025-4-17 04:0:0 | 阅读: 3 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
security
comet
elusive
remote
Mitigating ELUSIVE COMET Zoom remote control attacks
文章描述了威胁组织ELUSIVE COMET如何利用Zoom的远程控制功能进行社会工程学攻击。他们伪装成合法会议邀请,诱骗用户授予控制权限以实施加密货币盗窃。Trail of Bits通过技术手段(如PPPC配置文件和TCC监控)和操作安全策略(如员工培训和媒体沟通政策)成功防御了此类攻击,并强调了结合技术与操作安全的重要性。...
2025-4-17 04:0:0 | 阅读: 4 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
security
elusive
comet
remote
Introducing a new section on snapshot fuzzing for kernel-level testing in the Testing Handbook
Trail of Bits发布快照模糊测试技术用于检测内核级软件漏洞,该技术通过捕获系统状态实现快速、可重复的测试,解决了传统方法的局限性,并提供代码覆盖率追踪功能。...
2025-4-9 13:0:0 | 阅读: 5 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
software
handbook
security
memory
fuzzer
Benchmarking OpenSearch and Elasticsearch
This post concludes a four-month performance study of OpenSearch andElasticsearch search engines ac...
2025-3-6 00:0:0 | 阅读: 0 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
opensearch
workload
big5
median
Continuous TRAIL
本文讨论了如何将威胁建模整合到软件开发生命周期中,强调定期更新威胁模型以应对系统变化带来的新风险。建议在每个开发阶段维护和调整威胁模型,并提供具体步骤和工具选择指南。...
2025-3-3 00:0:0 | 阅读: 1 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
security
modeling
trail
zones
network
Threat modeling the TRAIL of Bits way
TRAIL是一种由Trail of Bits开发的威胁建模方法,结合多种现有技术,分析系统架构中的风险和漏洞。通过识别信任边界和组件间关系,帮助发现设计弱点并提供缓解建议。适用于设计阶段及整个软件开发生命周期。...
2025-2-28 00:0:0 | 阅读: 14 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
trail
security
linkerd
attacker
modeling
How Threat Modeling Could Have Prevented the $1.5B Bybit Hack
2025年2月21日,加密货币交易所Bybit遭遇史上最大规模的15亿美元黑客攻击,源于操作安全漏洞而非代码缺陷。攻击者入侵多重签名钱包签署者设备并篡改交易数据。文章分析指出此类事件频发系因攻击目标转向操作与人为因素,并强调通过威胁建模识别系统性弱点的重要性。建议实施端点安全强化、交易验证增强、钱包配置优化及操作隔离等措施,并将威胁建模纳入持续开发流程以提升整体安全性。...
2025-2-25 00:0:0 | 阅读: 7 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
modeling
security
operational
bybit
development
Don’t recurse on untrusted input
文章指出递归函数处理不受信任输入可能引发堆栈溢出和DoS攻击,影响ElasticSearch、OpenSearch等项目。作者开发CodeQL查询检测问题,并建议通过代码审计和设置深度限制来防范。...
2025-2-21 00:0:0 | 阅读: 5 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
fibonacci
protobuf
recursive
recursion
buffers
The $1.5B Bybit Hack: The Era of Operational Security Failures Has Arrived
Bybit遭遇史上最大规模加密货币盗窃事件,损失约15亿美元。此次攻击源于操作安全漏洞而非智能合约缺陷,黑客通过恶意软件操控员工设备并收集签名。事件揭示朝鲜网络威胁组织正针对加密货币交易所展开精准攻击。文章强调未来此类攻击可能频发,需加强运营安全措施以应对威胁。...
2025-2-21 00:0:0 | 阅读: 3 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
security
operational
attackers
hardware
rgb
Unleashing Medusa: Fast and scalable smart contract fuzzing
文章介绍了Medusa v1,一个基于EVM的智能合约模糊测试框架,旨在提升合约安全性。其功能包括覆盖率引导模糊测试、并行模糊测试、智能变异值生成和链上模糊测试等,显著提升了效率和可扩展性。Medusa基于Geth构建,采用Go语言编写,相较于前代工具Echidna更具优势。开发者可通过简单步骤快速上手,并通过社区资源进一步优化使用体验。...
2025-2-14 00:0:0 | 阅读: 3 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
medusa
echidna
security
fuzzer
developers
We’re partnering to strengthen TON’s DeFi ecosystem
TVM Ventures与Trail of Bits合作,提升TON开发者的生态系统安全。双方将共同制定DeFi协议标准,并为竞赛获胜项目提供全面安全服务。TVM Ventures还将举办持续的开发者竞赛,展示创新应用。...
2025-2-13 14:0:3 | 阅读: 4 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
security
ton
tvm
ventures
defi
The call for invariant-driven development
这篇文章探讨了智能合约安全性的关键问题,并提出了一种基于“不变式”(invariants)的开发方法来提升其安全性。通过在设计、实现、测试和监控等阶段嵌入不变式(即必须始终成立的关键属性),开发者可以显著增强智能合约的健壮性。文章还详细介绍了如何定义、分类和应用这些不变式,并强调了其在减少漏洞和攻击面方面的有效性。...
2025-2-12 14:30:36 | 阅读: 4 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
invariants
invariant
development
security
formal
We’re partnering to strengthen TON’s DeFi ecosystem
TON Ventures与Trail of Bits合作,提供全面安全服务和竞赛支持,助力开发者构建安全的区块链项目,并制定DeFi协议标准。...
2025-2-7 08:0:3 | 阅读: 8 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
ton
security
defi
blockchain
development
Preventing account takeover on centralized cryptocurrency exchanges in 2025
这篇文章讨论了中心化加密货币交易所(CEX)账户接管(ATO)的风险及其防范措施。随着ATO攻击的增加,CEX的安全设计漏洞成为主要威胁。文章指出,缺乏抗钓鱼多因素认证、不当密码重置流程及不足的日志监控使用户易受攻击。建议CEX加强技术安全机制、完善安全控制并提供用户指南以降低风险。...
2025-2-5 14:0:37 | 阅读: 5 |
收藏
|
Trail of Bits Blog - blog.trailofbits.com
ato
security
attacker
cex
cexes
Previous
1
2
3
4
5
6
7
8
Next