TheNote
RSS Trail of Bits 博客 笔记
GooglePlay AppStore

RSS Trail of Bits 博客

blog.trailofbits.com 是 Trail of Bits 的官方博客,这是一家提供渗透测试、安全编码和软件安全评估等服务的网络安全公司。 博客似乎专注于分享与网络安全相关的知识和见解,文章和帖子涵盖了软件安全、威胁建模、漏洞分析和安全编码实践等多种主题。 网站的设计简洁、整洁,布局直接,使用户可以轻松浏览和找到特定的文章或感兴趣的主题。 网站上有一个搜索功能,允许用户快速找到特定的文章或主题。此外,文章还按主题分类,使用户可以轻松浏览相关内容。 博客还特邀了网络安全领域的专家撰写客座博文,为网站提供了多样化的视角和见解。 总之,Trail of Bits 博客似乎是一个有价值的资源,为那些想了解更多关于网络安全的人和想了解该领域最新发展和趋势的人。
RSS blog.trailofbits.com
Trail of Bits Blog blog.trailofbits.com
RSS Hunter RSS Hunter 2024年8月23日

笔记线程

介绍《补丁地球》

Trail of Bits 与 OpenAI 的 Daybreak 计划合作,推出了"Patch the Planet"项目,以解决开源软件中的安全漏洞。该项目利用先进的 AI 模型(如 GPT-5.5-Cyber)识别漏洞,由 Trail of Bits 的工程师对发现结果进行分诊并打补丁。在启动的第一周内,该计划审查了涵盖加密和网络安全等关键软件领域的 19 个项目,发现了数百个漏洞,提交了 64 个拉取请求(pull requests),并记录了 51 个问题。重要的是,Trail of Bits 专注于提供实际补丁而非仅提交漏洞报告,已有 37 个补丁被合并。这些合并的贡献包括漏洞修复、新增测试、模糊测试(fuzzing)框架以及供应链工具改进。python.org 和 aiohttp 等特定项目从其维护者处获得了显著改进和快速修复。该计划还凸显了 AI 在快速构建复杂安全工具(如模糊测试实验室和变体分析流水线)方面的能力。文章强调,虽然借助 AI 发现漏洞已变得更加容易,但当前的真正挑战在于确认发现、评估严重程度以及实施有效的补丁。Trail of Bits 将继续推进"Patch the Planet"计划,邀请更多开源维护者申请协助。
Introducing Patch the Planet blog.trailofbits.com
CdXz5zHNQW_zplxitPXLL.gif
RSS Hunter RSS Hunter 昨天

用多项式分解“短袖”RSA密钥

研究人员发现,某些 RSA 私钥的比特位严重偏向 0,这种特性可被检测并导致快速分解。与 badkeys 项目的 Hanno Böck 合作,他们发现了数百个具有此特性的唯一密钥,并分析历史数据以追踪该问题的演变。这些密钥中 0 比特的分布模式往往高度结构化,从而使得能够开发基于多项式的密码分析技术以利用该模式。研究人员识别出两类具有重复 0 比特块的 RSA 模数模式,其中一种模式尚未得到解释,另一种则归因于旧版 CompleteFTP 文件传输软件中大整数代码的类型不匹配。CompleteFTP 的漏洞还生成了易受攻击的短袖 DSA 密钥;研究人员通过互联网扫描恢复了 603 个唯一的 RSA 私钥和 74 个 DSA 密钥。badkeys 项目是一个开源服务,用于检查公钥是否存在已知漏洞;通过对真实世界密钥数据集的搜索,研究人员发现了大量在野外存在且具有上述模式的密钥。研究人员逆向工程了 CompleteFTP 的漏洞,发现其根源在于 limbs 的大小与随机数生成器(RNG)输出大小之间的不匹配。在 CompleteFTP 团队发布了一个自动检查易受攻击密钥并在需要时提示用户重新生成密钥的更新后,该漏洞已被遏制。研究人员还开发了一种通过将整数表示为多项式来进行整数分解的技术,该技术可用于分解一般的 RSA 模数。这些漏洞的发现凸显了实践研究的重要性,以及持续监控密码学实现以识别和解决潜在弱点的需求。
Factoring "short-sleeve" RSA keys with polynomials blog.trailofbits.com
CdXz5zHNQW_iFKnuRveAb.webp
RSS Hunter RSS Hunter 6月12日

技能分配的糟糕状况

公共技能市场充斥着旨在窃取凭证和数据的恶意技能。安全公司已推出技能扫描器,旨在在安装前检测这些威胁,但我们的测试表明其效果不佳。我们成功绕过了 ClawHub(思科的代理技能扫描器)以及集成在 skills.sh 中的多个扫描器的检测机制。这些绕过是利用标准攻击技术并以相对较小的努力实现的。扫描器的静态特性使得攻击者能够反复测试并完善其方法,直至成功。 软件供应链的安全性一直备受关注,而代理系统的兴起引入了新的攻击向量:技能。恶意技能不仅可利用代码,还可利用自然语言提示,从而扩大了攻击可能性。技能分发渠道(如 ZIP 归档、精选市场和公共市场)往往将速度置于安全之上。尤其是公共市场,已充斥着旨在破坏用户系统的恶意技能。 我们对 ClawHub 扫描器的分析显示,该扫描器使用 VirusTotal 和一个基于 Gemini 3 Flash 的工具,仅通过添加大量换行符来混淆恶意代码即可绕过。思科的技能扫描器以及处理任意 Git 仓库的 skills.sh 上的扫描器也存在漏洞。我们通过在.docx 文件中嵌入恶意指令,并利用中毒的.pyc 字节码(可绕过模式匹配和基于 LLM 的分析)进行了利用。针对 skills.sh 的提示注入攻击将恶意命令伪装在看似无害的企业配置语言中。这些发现凸显了当前技能安全措施中存在重大漏洞。
The sorry state of skill distribution blog.trailofbits.com
CdXz5zHNQW_sN7fPOqey7.webp
RSS Hunter RSS Hunter 6月3日

我们对 zizmor 的 GitHub Actions 静态分析器进行了硬化

一项安全研究旨在改进 GitHub Actions 静态分析工具 zizmor,以增强持续集成(CI)的安全性。该研究针对攻击者利用配置错误(如 Trivy 漏洞)所引发的安全问题进行了应对。研究团队从开源仓库中构建了一个包含 41,253 个工作流(workflows)的测试语料库,以验证 zizmor 的能力。测试结果表明,虽然 anchor 的使用较为罕见,但在基础项目中依然存在。分析工作识别并修复了 zizmor 中四个与 anchor 处理相关的漏洞。此外,团队还解决了反序列化边缘情况以及表达式评估器中的漏洞。团队使 zizmor 的表达式评估器与 GitHub 的测试保持一致。测试方法包括下载真实工作流、运行 zizmor 并修复失败项。团队的工作共提交了 20 个问题报告,并合并了 15 个拉取请求(pull requests)。本研究旨在提升使用 GitHub Actions 的开源项目的安全性。这些改进加强了 CI 安全性,有助于防范供应链攻击。
We hardened zizmor's GitHub Actions static analyzer blog.trailofbits.com
CdXz5zHNQW_7aI8OOG07k.webp
RSS Hunter RSS Hunter 5月22日

Go fuzzing 缺少了一半的工具集。我们分叉了工具链来修复它。

Go 的原生模糊测试缺乏 Rust、C 和 C++ 生态系统中存在的先进功能,无法检测整数溢出和 goroutine 泄漏等常见漏洞。为应对这些局限性,开发了 gosentry,这是一个面向模糊测试的 Go 工具链分支。Gosentry 集成了 LibAFL,实现了原生结构体模糊测试、基于语法的模糊测试(通过 Nautilus),并能够检测此前被遗漏的漏洞类别。它保留了标准的 testing.F 工作流,允许现有的 Go 模糊测试 harness 配合新的命令行标志使用。Gosentry 通过结构感知的模糊测试提升输入质量,处理结构体、切片和指针等复合类型。它还支持基于语法的模糊测试,其中 Nautilus 生成并变异符合语法的输入,以应对 JSON 等复杂结构。该工具能够识别 Go 原生模糊器会遗漏的各种不良行为,包括整数溢出、数据竞争、goroutine 泄漏和执行超时。通过捕获模糊测试回调并将其交由基于 Rust 的 LibAFL 运行器执行,gosentry 改进了模糊测试引擎、调度机制和检测器。该项目已在 Optimism 和 Revm 等项目中发现了使用原生 Go 模糊测试难以发现的重大漏洞。该项目在 GitHub 上开源,并提供了其所有功能的完整文档。
Go fuzzing was missing half the toolkit. We forked the toolchain to fix it. blog.trailofbits.com
RSS Hunter RSS Hunter 5月12日

C/C++ 检查表挑战已解决

提供的文本描述了测试手册中的两个安全挑战:一个 Linux ping 程序和一个 Windows 驱动程序注册表处理器。Linux 挑战暴露了一个命令注入漏洞,这是由于输入验证缺陷以及 `inet_ntoa` 函数使用全局缓冲区所致,使得攻击者能够绕过安全检查。Windows 挑战突显了一个漏洞,即驱动程序使用 `RtlQueryRegistryValues` 从注册表中读取版本信息,允许攻击者控制注册表路径,从而读取任意注册表键。关键漏洞在于使用 `RTL_QUERY_REGISTRY_DIRECT` 时缺少类型检查,导致通过类型混淆引发栈溢出。Windows 驱动程序中缺少 `RTL_QUERY_REGISTRY_TYPECHECK` 标志,在尝试从不可信的 hive 读取数据时使用 `RTL_QUERY_REGISTRY_DIRECT`,会导致内核安全失败。该漏洞最初在 MS11-011 中得到修复,允许攻击者覆盖栈上的数据。随后,文本介绍了一种新的 Claude 技能 c-review,旨在利用大语言模型在 C/C++ 代码库中发现漏洞。该技能使用测试手册的检查清单作为提示,以识别漏洞。
C/C++ checklist challenges, solved blog.trailofbits.com
CdXz5zHNQW_Mg1wCwp9Lj.webp
RSS Hunter RSS Hunter 5月5日

使用 LibAFL 扩展 Ruzzy

本文详细介绍了将 LibAFL 集成到 Ruzzy(一种 Ruby 模糊测试工具)的过程。作者首先强调了 LibAFL 的优势,并表达了用其替换 libFuzzer 的意图。随后,作者在 Dockerfile 中构建了 LibAFL 的 libFuzzer 库,并对 Ruzzy 的构建流程进行了小幅修改,以便通过环境变量使用 LibAFL。在链接阶段出现了一个问题:".preinit_array 段不允许在 DSO 中使用”,为此需要改用 LLVM 链接器(lld)而非 GNU ld 来解决该错误。作者相应地修改了 Dockerfile 和 extconf.rb 以指定链接器。在解决构建问题后,作者尝试运行模糊测试器,但出现了"No maps available; cannot fuzz!"的错误,这表明 SanitizerCoverage 初始化存在问题。作者计划进一步探索并解决此问题。最终,作者打算通过引入 Cargo 特性来阻止 .preinit_array 段,从而在上游提出一个恰当的修复方案。文章最后聚焦于运行模糊测试器,并展望了下一步解决 sanitization 问题的计划。
Extending Ruzzy with LibAFL blog.trailofbits.com
RSS Hunter RSS Hunter 4月29日

Trailmark 将代码转换为图。

Trailmark 是一个新的开源库,能够将源代码转换为可查询的调用图。该图表示函数、类及其关系,并包含语义元数据。Claude 技能可以通过 Python API 直接与该图交互。传统的安全分析通常依赖发现列表,但攻击者以图的方式思考,这使得防御者处于劣势。Trailmark 旨在为 Claude 等 AI 模型提供基于图的推理能力。 变异测试是一种通过引入微小代码变更来评估测试质量的方法,会产生大量存活的变异体。这些变异体的扁平列表无法区分等价变异体、死代码或真正具有意义的变异体。Trailmark 使 Claude 能够根据安全相关性对这些变异体进行分诊,例如从不可信输入的可到达性角度进行分析。该库分三个阶段处理代码:使用 tree-sitter 进行解析以生成抽象语法树(AST),索引到高性能图中,并查询调用者、被调用者和攻击面等信息。 Trailmark 支持十七种编程语言,并提供八个预构建的 Claude Code 技能。这些技能可协助完成变异体分诊、测试向量生成和协议图绘制等任务。例如,"genotoxic"技能利用图分析对存活变异体进行分类;"vector-forge"技能则生成测试向量以填补已识别的覆盖率缺口。Trailmark 还集成了静态分析器和审计工具的发现结果,并将其映射到代码图上。 在加密库的内部使用中,我们发现等价变异体在测试充分的代码中往往占多数,而扁平列表会遗漏这一细节。图分析还揭示了架构瓶颈,例如 libhydrogen 中单个置换原语影响了所有加密操作。对于缺乏标准化测试向量的新颖构造,变异测试通过识别测试未能约束代码行为的位置而证明其价值。在各种代码库中,出现了常见模式:算术模块具有较大的爆炸半径,编解码器解析器是模糊测试的理想目标,而基于属性的测试往往稀疏。最终,Trailmark 作为连接不同分析工具的纽带,使更针对性的安全评估成为可能。
Trailmark turns code into graphs blog.trailofbits.com
RSS Hunter RSS Hunter 4月23日

我们击败了谷歌关于量子密码分析的零知识证明。

Google 量子人工智能团队曾宣称,首代量子计算机可在 9 分钟内利用零知识证明破解椭圆曲线密码。Trail of Bits 团队则构造了一个伪造的零知识证明,通过利用 Google Rust 证明器代码中的漏洞,显著改善了 Google 的指标。这些漏洞包括内存安全问题与逻辑缺陷,Google 随后已进行修复。Trail of Bits 提供的证明将总操作数降至 830 万次,量子比特数降至 1,164 个,并消除了 Toffoli 门。该伪造证明仍能通过 Google 未修复版本的验证,且与合法证明无法区分。Google 的证明采用零知识虚拟机(zkVM)来计算量子电路的成本。zkVM 模拟的核心在于证明:一个包含私有输入(如量子电路)的程序能够生成特定的公开输出,其中包含资源上限。一个关键漏洞在于通过操纵电路汇编脚本中的操作类型,绕过 Toffoli 门计数器。这种操纵使得程序能够执行操作而不正确报告其成本,从而实现了证明的伪造。该事件凸显了零知识证明系统所引入的独特攻击面。
We beat Google’s zero-knowledge proof of quantum cryptanalysis blog.trailofbits.com
CdXz5zHNQW_xMS1ou095P.webp
RSS Hunter RSS Hunter 4月17日

通过我们的新版测试手册章节,掌握 C 和 C++。

《测试手册》新增了一章,为 C 和 C++ 代码提供了安全检查清单。该章节详细列出了多个平台上的常见漏洞、易错陷阱及 API 问题,并按 Linux、Windows 和 seccomp 分节组织,侧重于人工代码审查。同时,一款基于大语言模型(LLM)的工具正在开发中,将利用此检查清单生成用于发现漏洞的提示词。章节还包含两项挑战任务,以检验读者的代码审查能力,并对早期提交正确答案者提供奖励。内容涵盖从语言层面的问题到平台特定问题的广泛漏洞类型:Linux 部分聚焦于 libc 中的易错点,Windows 部分重点讨论 DLL 注入和路径遍历问题,seccomp 部分则针对沙箱逃逸进行说明。手册将持续更新,欢迎社区贡献。挑战任务要求识别一个简单 ping 程序和一个 Windows 驱动程序中的漏洞。作者强调,基于检查清单的审查仅是安全工作的起点,不能替代专业 expertise(专业知识)。
Master C and C++ with our new Testing Handbook chapter blog.trailofbits.com
RSS Hunter RSS Hunter 4月9日

武器化图像缩放以对抗生产中的人工智能系统

在这篇博文中,我们将详细介绍攻击者如何利用 Gemini CLI、Vertex AI Studio、Gemini 的 Web 和 API 接口、Google Assistant、Genspark 以及其他生产 AI 系统中的图像缩放漏洞。我们还将解释如何缓解和防御这些攻击,并介绍我们的开源工具 Anamorpher,它可以让您探索和生成这些经过精心制作的图像。
Weaponizing image scaling against production AI systems blog.trailofbits.com
RSS Hunter RSS Hunter 2025年8月21日

测试手册新增快照模糊测试章节,用于内核级别测试

快照模糊测试使安全工程师能够有效地测试传统上难以分析的软件,如内核级软件(尽管该技术不限于此类软件)。无论您是审核驱动程序还是其他内核模式组件,包括防病毒软件,快照模糊测试都提供了一种可靠的方式来发现关键漏洞。请查看我们的新测试手册部分,以获取如何在您的系统上进行快照模糊测试的步骤指南。
Introducing a new section on snapshot fuzzing for kernel-level testing in the Testing Handbook blog.trailofbits.com
RSS Hunter RSS Hunter 2025年4月9日