【技术干货】剖析pip ssh-decorate供应链攻击
文/图 阿里安全猎户座实验室
近日,国外媒体有安全人员爆出Python pip ssh-decorate被发现存在后门代码!对,又是pip污染。
pip是python的开源包资源库。然而,这个开源库的管理是十分松散的。尤其在安全方面并没有严格的审核机制。一个用户只需要一个email即可注册账户,然后即可上传其源文件到pip资源中。而这个pip资源是被世界上所有python用户使用下载的。如果有人夹杂恶意代码上传了某个包,并以常见程序的名字命名,比如zip,ssh,smb,ftp。那么当有用户尝试搜索并下载使用这个名字的包时,这个用户就会中招,可谓神不知鬼不觉。这就是存在于pip中的供应链安全问题。回头看,针对pip的攻击已经并不新鲜,早在几年前就有国外研究者进行过类似实验。而真正让大家重视起来是在2017年,国内白帽子也针对pip源进
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
400城启动智慧化变革 有望撬动万亿级投资
在车辆川流不息的大城市,除了几乎无处不在的拥堵,我们还时常忍受着大雨突袭时地面的积水,呼吸着雾霾中有损健康的尾气。进入城镇化的3.0时代,我们应该如何克服大城市病?如何在城市里更加智慧地栖居? 近年来,智慧城市风头正劲,智能家居、智能交通、智能政务、万物互联已逐渐从想象变为现实。在这一背景下,智慧城市有望撬动万亿级市场机会,为经济转型升级增添动力。借2016(第二届)中国智慧城市国际博览会在京开幕之机,《每日经济新闻》特推出“探路中国城镇化3.0”专题,试图从产业转型、城市布局、商业模式、政策方向等角度,解读智慧城市建设的热潮。 智慧城市正加速从原先的概念探索迈进到实质建设阶段。 7月29日,由国家发改委中国城市和小城镇改革发展中心等单位主办、北京金博会国际会展有限公司承办的2016(第二届)中国智慧城市国际博览会在北京展览馆拉开序幕。 统计数据显示,到“十二五”末期,我国城镇化率已达56.1%。按住建部统计口径,截至2015年底,智慧城市试点约有400个。 中国城市和小城镇改革发展中心原主任、智慧城市发展联盟理事长李铁告诉《每日经济新闻》记者:“智慧城市建设对于未来中国的发展非常重要...
- 下一篇
在 MaxCompute UDF 中运行 Scipy
新版 MaxCompute Isolation Session 支持 Python UDF。也就是说,Python UDF 中已经可以跑二进制包。刚才以 Scipy 为例踩了一下坑,把相关的过程分享出来。 下载 Scipy 包并上传资源 首先,从 PyPI 或其他镜像下载 Scipy 包。你需要下载后缀为“cp27-cp27m-manylinux1_x86_64.whl”的包,其他的包会无法加载,包括名为“cp27-cp27mu”的包。以下的截图来自 https://pypi.python.org/pypi/scipy ,仅有打勾的包可以直接使用: 下载 whl 后,将文件名更改为 scipy.zip。此后,在 MaxCompute Console 中执行 add archive scipy.zip; 此后,scipy.zip 即被创建为
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Linux系统CentOS6、CentOS7手动修改IP地址
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2整合Redis,开启缓存,提高访问速度