标签: cve
如何获取 veracode 漏洞报告的详细信息?
如何获取 veracode 漏洞报告的详细信息?
我是一个流行的 JS 库Ramda的维护者,我们最近收到一份报告,称该库存在原型污染漏洞。这可以追溯到veracode 报告,其中写道:
ramda 很容易受到原型污染。攻击者可以通过该
_curry2函数将属性注入到现有的构造原型中,并修改诸如__proto__、constructor、 和 之类的属性prototype。
我明白他们所说的原型污染是什么。snyk 的 writeuplodash.merge中有一个很好的解释。Ramda 的设计有所不同,明显类似的 Ramda 代码不会受到此类漏洞的影响。这并不意味着 Ramda 的任何部分都不受其约束。但该报告没有包含任何细节,没有代码片段,也没有办法质疑他们的发现。
他们描述的细节显然是错误的。 _curry2不可能会遇到这个问题。但由于该函数被用作许多其他函数的包装器,因此报告者的误解可能隐藏着真正的漏洞。
有没有办法获取此错误报告的详细信息?演示问题的代码片段?任何事物?我已经填写了他们的联系表。答案可能仍在到来,因为才 24 小时前,但我并没有屏住呼吸——这似乎主要是一份销售表格。我所做的所有搜索都提供了有关如何使用其安全工具的信息,但几乎没有提供有关如何创建自定义报告的信息。我在 CVE 数据库中找不到这个。
推荐指数
解决办法
查看次数
VSCode 无法识别 python 单元 - CVE 代替
我尝试运行带有扩展名的笔记本.ipynb,但 Jupyter 笔记本不允许我将单元转换为 Python。当我单击右下角的语言按钮时,Python 位于列表中,但它会自动将其转换为 CVE。
这究竟意味着什么?我怎样才能将其更改为Python?
在我看来,这是这样的:
当我点击它时,我得到以下信息:
推荐指数
解决办法
查看次数
使用 Python 3 正则表达式提取 CVE 信息
我经常需要供应商的安全公告页面上列出的 CVE 列表。有时复制起来很简单,但通常它们会与一堆文本混合在一起。
\n\n我已经有一段时间没有接触过 Python 了,所以我认为这将是一个很好的练习,可以弄清楚如何提取该信息 \xe2\x80\x93 特别是因为我一直发现自己手动执行此操作。
\n\n这是我当前的代码:
\n\n#!/usr/bin/env python3\n\n# REQUIREMENTS\n# python3\n# BeautifulSoup (pip3 install beautifulsoup)\n# python 3 certificates (Applications/Python 3.x/ Install Certificates.command) <-- this one took me forever to figure out!\n\nimport sys\nif sys.version_info[0] < 3:\n raise Exception("Use Python 3: python3 " + sys.argv[0])\nfrom urllib.request import urlopen\nfrom bs4 import BeautifulSoup\nimport re\n\n#specify/get the url to scrape\n#url =\'https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop.html\'\n#url = \'https://source.android.com/security/bulletin/2020-02-01.html\'\nurl = input("What is the URL? ") or \'https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop.html\'\nprint("Checking URL: " + url)\n\n# CVE regular expression\ncve_pattern = \'CVE-\\d{4}-\\d{4,7}\'\n\n# query …推荐指数
解决办法
查看次数