• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Стоит ли слепо доверять открытым исходникам? | Should we blindly trust open source?

Отслеживать
oceanaric сказал(а):
Ого, не видел такого ещё)
Это уже стандартная практика, ещё так с конца года 2022, вот как раз на подобное мой знакомый с другого борда попался, благо злоумышленник оказался глупым и пейлоудом являлся стиллер реализованный с прямой отправкой по вебхуку, думаю очевидно что было дальше😉
 
w0nd3r сказал(а):
ищем в проектах сдохшие домены, регистрируем, :D
Таким способ, можно любой борд протроянить)

 
Дополню, вроде нигде в статье не написана одна важная вещь. Вредоносный модуль вообще даже не нужно использовать и запускать, чтобы он вас поимел, достаточно его просто проинсталлировать пипом.
1708906602856.png
 
Спасибо за статью, очень интересно и полезно!
Так скажем именно с "кодингом" только знакомлюсь, уверен буду внимательнее)
 
xrahitel сказал(а):
Таким способ, можно любой борд протроянить)

Интересно насколько это эффективно, думаю на большинстве бордов выкладывают хэш-суммы вместе с файлом, а также насколько ли жертва не додумается проверить его в песочнице, тем более если борд специализирован под определенную тематику в IT
 
Doklsi сказал(а):
Интересно насколько это эффективно, думаю на большинстве бордов выкладывают хэш-суммы вместе с файлом, а также насколько ли жертва не додумается проверить его в песочнице, тем более если борд специализирован под определенную тематику в IT
Да прекрати ты, тема на exp тыц два года пролежал пока не тыц1.gif

p.s При чем софт level23
 
Doklsi сказал(а):
У меня экспа не загружается, не мог бы ты скрином отправить
1.png


2.png
 
jfrog.com

Examining Malicious Hugging Face ML Models with Silent Backdoor

Is Hugging Face the target of model-based attacks? See a detailed explanation of the attack mechanism and what is required to identify real threats >
jfrog.com jfrog.com

GitHub Actions Worm

GitHub's CI/CD platform, GitHub Actions, has recently become a target for a sophisticated attack vector, posing threats to both open-source projects and internal repositories. In this article, we will explore the technical intricacies of this threat ...
rezaduty-1685945445294.hashnode.dev rezaduty-1685945445294.hashnode.dev
 
На днях возникла мысль о том что люди яро доверяют открытому исхходному коду и сами его не проверяют никкак, что не дает гарантий безобидности софтины
За статью спс
 
tvoibto сказал(а):
Как определить, какой источник надежный? 🫠
Ресурс с многолетней репутацией, кучей установок, +самостоятельная проверка семпла даст понятие о нем в большинстве своём, но как говорится нельзя никогда доверять, ибо сыр бесплатный может оказаться в мышеловке
 
tvoibto сказал(а):
Как определить, какой источник надежный? 🫠
Загрузки и репутация.

Вы всегда должны проверять код. Вы никогда не знаете наверняка.
 
У nodejs тоже свои приколы с его npm. При установке проекта (сорсов), подтягивается такое количество зависимостей - просто жесть. Все написаны в разном стиле, код по большей части нечитаемый, даже если он на тайпскрипте. Если делаешь для веба, то бандлы (собранные в кучку весь код скриптов) весят по 10 мб это привычная тема, хотя функционала с гулькин нос.

Когда работаешь в белой индустрии и кому-то из бизнеса скажешь, что это лучше с нуля написать, чем подтягивать такого монстра, пальцем у виска покрутят и скажут, что надо смотреть на звездочки на гитхабе. Такая культура, пилят сук, на котором сидят. Их тренды.

Что касается библиотек работы с криптой, это просто огонь. Такая махина подтягивается, что такое чувство собираешь линукс, сотни пакетов говна.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх