本文深入解析Kubernetes镜像构建器中的两个关键漏洞(CVE-2024-9486 CVSS 9.8和CVE-2024-9594 CVSS 6.3),包括其技术原理、影响范围及修复方案,涉及Proxmox/Nutanix等提供商场景下的默认凭证残留问题。
本文详细介绍了如何利用PowerShell脚本CredPhish进行密码钓鱼攻击,包括技术原理、配置方法、数据外传技术以及防御建议,适合安全研究人员了解此类攻击手法。
本文介绍Trail of Bits推出的manticore-verifier工具,它允许开发者用Solidity编写安全属性测试,并自动通过符号执行进行验证,大幅降低智能合约的验证成本。文章包含完整技术实现细节和案例演示。
本文详细记录了Trail of Bits团队2021年在LLVM编译器、Nix软件包、Osquery系统监控框架、Python工具链等关键开源项目中的190多项技术贡献,涵盖代码修复、架构优化和安全增强等实质性技术工作。
本文深入探讨了分布式系统中著名的FLP不可能性结果,以及DLS论文如何通过引入全局稳定时间(GST)假设来规避这一限制。文章详细分析了GST假设的理论基础、对抗模型解释以及在实际协议设计中的重要价值。
Trail of Bits正式发布《测试手册》,首章详解Semgrep静态分析工具的最佳实践,包括规则定制、自动修复、CI/CD集成等核心技术要点,帮助开发者快速提升安全测试效率。
本文详细介绍了对GNU调试器(GDB) Python API的三项重要改进:优化符号解析并行处理、增加类型对象repr信息输出、支持动态创建和注册新类型,这些改动显著提升了Pwndbg等依赖GDB的工具开发体验。
本文详细回顾了Trail of Bits团队2022年在开源社区的400多项技术贡献,涵盖Rust编译器优化、以太坊虚拟机改进、HTTP头验证架构重构等关键技术突破,展示了专业安全团队如何推动基础设施软件的质量提升。
本文深入解析PyPI采用的可信发布技术,通过OpenID Connect实现无长期API令牌的自动化发布流程,显著降低凭证泄露风险,并探讨该机制如何防范账户劫持、供应链攻击等新型威胁。
戴尔公司确认遭遇新兴勒索组织World Leaks攻击,但强调泄露数据来自客户解决方案中心的合成测试数据集,与真实客户系统隔离,不包含敏感信息。事件揭示了前Hunters International勒索团伙残余势力的新动向。