Topic
#security
按主题聚合的新闻视图。
Topic Feed
主题:security
共 8 条
TRE Python 绑定展示抗 ReDoS 能力
Simon Willison 发布了一篇研究笔记,介绍一个面向 TRE 正则表达式引擎的实验性 Python 绑定。这个绑定使用 ctypes,并由 Claude Code 协助构建;在测试恶意正则模式时,TRE 的表现比 Python 标准库更稳健,主要原因是它不支持回溯。
云开发平台 Vercel 因第三方 AI 工具被黑
云开发平台 Vercel 因一个被攻破的第三方 AI 工具遭遇安全漏洞,攻击者(自称来自 ShinyHunters 组织)在网上发布了员工姓名、邮箱和活动时间戳等信息。
Datasette 用 Sec-Fetch-Site 头部替代 CSRF 令牌保护
Datasette 已经用基于 Sec-Fetch-Site HTTP 头的保护方式取代了传统的 CSRF 令牌机制。这一改动移除了模板中所需的隐藏 CSRF 令牌输入和相关插件钩子。
scan-for-secrets 0.3 版本发布,新增数据脱敏功能
Simon Willison发布了scan-for-secrets的0.3版本,新增了-r/--redact选项,可在替换检测到的密钥前提示用户确认。同时新增了一个Python函数redact_file(),支持程序化安全替换文件中的敏感信息。
scan-for-secrets 0.2 版本发布,支持流式输出和多目录扫描
scan-for-secrets 0.2 版本新增了边发现边流式输出结果的功能,可通过多次使用 -d 参数扫描多个目录,并新增了三个 Python API 函数:scan_directory_iter()、scan_file() 和 scan_file_iter()。
JavaScript能否绕过iframe中的CSP元标签?
西蒙·威尔森测试了iframe内不受信任的JavaScript是否能绕过通过<meta>标签设置的内容安全策略(CSP)。他发现,即使这些脚本试图修改或删除该元标签,CSP仍然会被遵守。
Axios遭遇供应链攻击,植入恶意依赖包
一起供应链攻击通过向 Axios 的版本 1.14.1 和 0.30.4 注入名为 'plain-crypto-js' 的恶意依赖包,破坏了这个广受欢迎的 npm 包。该恶意代码窃取用户凭证并安装远程访问木马(RAT)。