[慢雾安全预警:Nuxt.js出现远程代码执行漏洞攻击案例,请相关方及时升级]金色财经报道,据慢雾区消息,Nuxt.js远程代码执行漏洞(CVE-2023-3224) PoC在互联网上公开,目前已出现攻击案例。Nuxt.js是一个基于Vue.js的轻量级应用框架,可用来创建服务端渲染(SSR) 应用,也可充当静态站点引擎生成静态站点应用,具有优雅的代码结构分层和热加载等特性。Nuxt中存在代码注入漏洞,当服务端以开发模式启动时,远程未授权攻击者可利用此漏洞注入恶意代码并获取目标服务器权限。其中,Nuxt == 3.4.0,Nuxt == 3.4.1,Nuxt == 3.4.2 均受到影响。加密货币行业有大量平台采用此方案构建前后端服务,请注意风险,并将Nuxt升级到3.4.3或以上版本。
慢雾安全工程师:安全审计是目前保护DeFi项目安全最高性价比的方式:12月30日,在慢雾科技主办的Hacking Time区块链安全攻防峰会上,慢雾科技高级安全工程师yudan和Kong根据bZx最早期的两次闪电贷攻击案例,介绍了闪电贷基本的攻击形式——代币价格操纵,详细讲述了基于价格操纵的闪电贷的防御方案以及在其价格无法被操纵的情况下,如何利用闪电贷另辟蹊径,通过操纵 LP Token的单价来进行获利。并通过慢雾被黑档案库与大家一起回顾了2020 DeFi被黑事件。
yudan和Kong认为,DeFi安全形势严峻,安全审计是目前保护项目安全最高性价比的方式。在当下DeFi黑暗森林里我们在临渊而行,需如履薄冰。[2020/12/30 16:04:29]
动态 | 慢雾安全团队发现新型公链攻击手法“异形攻击”:慢雾安全团队发现针对公链的一种新型攻击手法“异形攻击”(又称地址池污染),是指诱使同类链的节点互相侵入和污染的一种攻击手法,漏洞的主要原因是同类链系统在通信协议上没有对非同类节点做识别。这种攻击在一些参考以太坊通信协议实现的公链上得到了复现,以太坊同类链,由于使用了兼容的握手协议,无法区分节点是否属于同个链,导致地址池互相污染,节点通信性能下降,最终造成节点阻塞、主网异常等现象。相关公链需要注意持续保持主网健康状态监测,以免出现影响主网稳定的攻击事件出现。[2019/4/18]
动态 | 慢雾安全团队推出 EOS 合约验证平台:据IMEOS报道,慢雾安全团队推出 EOS 合约验证平台,希望借此为区块链世界构建一个更加安全的生态环境。该功能包括:
1.用户可对已验证 EOS 合约账户的源代码进行查询;
2.项目方可自行上传源代码进行一致性校验。[2018/8/14]
郑重声明: 慢雾安全预警:Nuxt.js出现远程代码执行漏洞攻击案例,请相关方及时升级版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。