近半年来,一个未知的威胁行为者一直在向Python包索引(PyPI)资源库发布typosquat包,其目的是发布能够获得持久性、窃取敏感数据和访问加密货币钱包以获取经济利益的恶意软件。
Checkmarx 在一份新报告中说,这 27 个软件包伪装成流行的合法 Python 库,吸引了数千次下载。大部分下载来自美国、中国、法国、德国、俄罗斯、爱尔兰、新加坡、英国和日本。
该软件供应链安全公司说:这次攻击的一个显著特点是利用隐写术将恶意有效载荷隐藏在一个图像文件中,增加了攻击的隐蔽性。
这些软件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool,其中最后一个软件包于 2023 年 5 月 13 日被植入。
这些软件包的一个共同点是使用 setup.py 脚本包含对其他恶意软件包(即 pystob 和 pywool)的引用,这些软件包部署了一个 Visual Basic 脚本(VBScript),以便下载和执行一个名为 “Runtime.exe “的文件,从而实现在主机上的持久化。
二进制文件中嵌入了一个编译文件,能够从网络浏览器、加密货币钱包和其他应用程序中收集信息。
Checkmarx 观察到的另一种攻击链将可执行代码隐藏在 PNG 图像(”uwu.png”)中,随后解码并运行该图像,以提取受影响系统的公共 IP 地址和通用唯一标识符(UUID)。
特别是 Pystob 和 Pywool,它们打着 API 管理工具的幌子发布,只是为了将数据外泄到 Discord webhook,并试图通过将 VBS 文件放置在 Windows 启动文件夹中来保持持久性。
Checkmarx表示:这一活动再次提醒我们,当今的数字环境中存在着无处不在的威胁,尤其是在以协作和开放代码交换为基础的领域。
针对软件供应链的持续攻击浪潮也促使美国政府在本月发布了新的指南,要求软件开发商和供应商维护软件安全并提高安全意识。
网络安全和基础设施安全局(CISA)、国家安全局(NSA)和国家情报局局长办公室(ODNI)表示:鉴于近期备受关注的软件供应链事件,建议采购组织在其采购决策中指定供应链风险评估。
软件开发商和供应商应改进其软件开发流程,不仅要降低对员工和股东的伤害风险,还要降低对用户的伤害风险。
参考链接:
戴尔公司如何做到以客户为中心
戴尔在线的目的是最大限度的满足客户的需要,使公司更快捷、高效的运转,产生更大的效益,以下是公司网站的主要目标:● 更准确快捷的了解客户需求,有计划的组织生产● 提供直销服务,网上查询和预定● 降低公司库存,根据客户订货组织生产● 客户个性化服务● 网上故障诊断和技术支持● 降低公司运营成本管理戴尔公司众多而复杂的客户群是一项重要而艰难的工作,戴尔公司为满足客户的需要,不断改进其技术系统,戴尔公司网站的功能和运行状态日趋稳定和完善。 戴尔在线运行在由几个互为镜象的戴尔高端服务器组成的多服务器群上。 这些服务器提供互联网内容服务,商务和非商务应用以及后台的SQL数据库服务。 在这些产品服务器集群之后的是测试、原型和开发所用的一些服务器。 整个站点在每晚进行备份,使用一组功能强大的后备设备。 站点的前端互联网服务器上保存着静止的互联网页面并存储着所有信息的多个镜象副本。 这些服务器是通往服务器后面的其他应用和数据的一个门户,都使用微软的视窗NT进行配置,包含了NT选项软件包、微软的互联网信息服务器(IIS)4.0版、动态服务器页面(ASP)以及6.5版SQL服务器。 戴尔公司使用了微软公司互联网服务器软件的3
怎么制作网页?
下文为两篇网络资源,我提供与您,供享!!!先从最简单的 HTML 网页入手;选择 Dreamweaver 4.0MX Fireworks 4.0 MX Flash 5.0 MX 俗称三剑客网页工具。 图象还须 Photoshop 等作为你的网页制作工具;制作前,粗略地阅读 Dreamweaver Fireworks 及 Photoshop 教程,了解这几个软件到底能做些什么;制作你的第一个实验性的网站, 遇到困难,可买本《新编网页制作》的书,找最新版本的,新华书店就有。 资料网上也有的是,如果遇到问题难以解决,请将问题提出,让更多高手为你解答; 初级阶段:应初步掌握 三剑客网页工具的基本操作:策划和制作你的第一个网站;不断为你的网站增加内容与功能(例如尝试将一些 Java Script 小程序添加到你的网页中。 进阶阶段:具有一定的网页制作经验,制作一般的网页已经不在话下:根据个人喜好及实际需要,网页制作的方向,你可以学习一些美术方面的知识;锻炼自己在网站策划及信息采辑的技能;尝试制作其他不同类型的网站,从模仿别人开始,逐渐形成自己的设计风格;熟练操作 三剑客网页工具,并至少能读懂 HTML 及 JavaScript的简单语言。 好了!这样,你的网页制作水平就离高手就不远了。 祝你成功!另外还有(一)主页的制作:1、首先进入需要制作网页后,密码进入点击制作网页;2、进入在线编辑;3、起动浏览器;4、进入其他人网页主页;5、点击其他人网页内容;6、点击右键出复制;7、内容编辑(下面);8、点击左键粘贴;9、修改不合适内容;10、选颜色;11、输入文件名;index12、点击完成;(二)怎样进行超级连接?一、相对连接:(内部连接)第一步:先进入进入成员专区,打开网页制作系统;第二步:如果是连接你本网页著作系统已上传的文件,首先打开需要被连接的文件,点地址栏,变为兰色,再点右键点复制;第三步:进入第一页(主页)改内容,找到原先设定的目录选中此目标;第四步:点插入连接,出现对话框,点右键点粘贴,再点OK第五步:选中背景颜色,点击完成即可。 二、绝对连接:(外部连接)其他文件(本硬盘已存或别人网站等)怎样进行超级连接?其他步骤基本相同唯一不同的是:首先选中你所存硬盘或别人网站地址栏内的目录。 (三)怎样把照片搬到自己的网页上一、上传 选择法:1、先把要般的相片存在软盘上,(非中文文件名)2、上传到40兆空间3、打开网页制作改内容,4、指定放相片的位置,5、按插入相片按钮,点“选择”;6、选背景颜色,按完成。 二、复制 粘贴法:1、选择相片右键点“复制”,2、进入网页改内容指定位置,3、点击“粘贴”即可。 动画的提取大体与上相同。 一. 网页设计软件的选择设计主页首先要选择合适的工具软件,现在比较流行的网页制作软件是 FrontPage 和 DreamWave。 他们各有优缺点,FrontPage 是微软出品的网页编辑软件,也是 Office 系列软件的组成部分。 最新的 FrontPage2000中文版 在 Office2000 的软件包中可以找到。 如果对 Office 有一定的基础,会用 Word 的人,很开就可以学会使用 FrontPage ,它的最大优点之一就是易学易用。 另外 FrontPage 制作的网页在 IE 浏览器中的效果也特别好。 但是,如果你希望网页在 Netscape 或其他浏览器上有良好表现,那么使用 FrontPage 就有些麻烦。 不是说不可以,只是很容易出错。 在这方面 DreamWave 就好很多,毕竟是第三方的软件。 DreamWave是由 MacroMedia 公司出品的网页制作软件,最新版本是3.0,功能也同样很强大。 不过学习起来要难一些,而且 IE 浏览器的一些高级功能就无法实现了。 各有所长,只有自己权衡了。 另外不要将两个编辑软件交替使用,否则会出现混乱。 二. 网络服务商的选择现在提供免费主页空间的网站非常多,当然也有收费的。 选择什么好呢?千万不要认为什么“无限主页空间”就是最好。 这里的讲究非常多的。 首先要明确服务商提供的是什么操作系统的服务器,如果你使用 FrontPage 编写主页,最好选择 Windows NT 服务器,这样效果最好。 另外还有 Linux 和 Unix 的服务器也很多见,用这些服务器的话要注意一个问题,就是文件名的大小写一定要清楚。 一般的 Windows 用户会觉得这不是问题,因为微软的习惯,文件名大小写是不区分的。 但是 Linux 和 Unix 不是这样,比如你有一个 的图片上传,然后在 HTML 超连接写成了 ,扩展名写成大写了。 在本地看这个 HTML 文件很正常,图片显示正确。 但等你上传到服务器上,你会发现根本无法显示文件。 解决这个问题的最简单办法是所有的文件名和扩展名都用小写英文字母,而且不要用长文件名。 当然,如果是 Windows NT 服务器,就不用担心这个问题。 如果只是做简单的主页,那只需要得到相应的主页空间就可以了。 但如果做高级一些到主页,就牵涉到一些网络程序的执行,这就需要 CGI 权限甚至数据库权限。 一般的网络服务器上是不会免费提供这些功能的,而且收费往往不低。 对于一般的个人主页完全没必要苛求这些,不然维护费用会很大,除非确实想做出一个很好的站点。 免费主页空间的另外一个问题是服务商随时有权关闭服务,因为不承担任何承诺,这样你的成果可能会白费,所以要找一些比较可靠的主页空间,最好是已经提供较长时间服务,且有一定知名度的。 另外,不同的服务商使用的网络服务器和线路也不尽相同,访问的更新速度差异也非常大。 要选择线路速度快一些的主页空间,不然会大大影响来访者的兴趣。 最好使用本地的网络服务器,因为跨区域的网络线路往往比较拥挤。 还有,网络服务商提供怎样的主页维护方式也很重要。 如果提供 FrontPage 扩展的 HTTP 维护,那就最方便了。 可以做到全自动维护。 如果是传统的 FTP 方式,也不错。 FrontPage2000 同样可以用 FTP 自动上传,而且也可以用许多 FTP 管理软件。 但还有一种是基于 WEB 的主页维护,这种主页空间只能到服务商的网站上按它特定方式编辑维护主页。 这样很不方便,最好不要使用。 三. 主页内容的选择评价一个主页的优劣,主要不是看外观而是看内容。 选择适当的内容很重要,最好是自己比较感兴趣的内容,否则会没有长期维护的热情。 另外不要做太多的主题,没有重点的四面出击往往一样也不吸引人。 很多著名的个人主页都是靠一个优秀的栏目而大受欢迎的,飞翔鸟硬件就是个很好的例子。 维护主页贵在坚持,一定要不断上传新的内容来充实更新网站。 不过同样要注意不要随便抄袭别人的内容,如果对方的内容是可以转载的自然没问题,但如果是版权所有的,可能会遇到纠纷,甚至会强制关闭你的个人主页。 知识产权还是需要尊重的,因此在转在其他网站的内容时,最好征求对方的同意。 还有,主页内容千万不要有违法的成分,特别是不要有色情内容。 四. 主页制作的技巧主页制作是一门综合性技术,也是一门艺术,它包括策划、美工、设计等等。 这里只是说一些应该注意的问题。 很多商业网站都有“广告条”,点击广告可以为网站赚钱,甚至像 Yahoo 这样的网络公司也主要靠这些广告的收入维持。 但是一般的个人主页,建设初期最好不要放广告条,特别是不能放很多。 在访问量不是很大的时候,广告是赚不到钱的。 反而会让访问者觉得主页很乱,全是无聊的广告,给人的印象就很差了。 还有些个人主页因为访问量很低没面子,就修改网页计数器,增加访问量。 这其实是自欺欺人,以后别人也不会相信你的主页流量了。 一个好的主页,总会有越来越多的访问者,如果没质量的主页,做手脚又有何用?还有,如果是免费主页空间,一般速度都不太快,空间也不大。 最好不要提供过多的软件下载,这样会严重影响访问速度。 到头来会得不偿失的。 一般较好的软件下载站点都提供独立的 FTP 线路下载软件,这样才能保证网站的访问速度不受影响。 同样的,主页上也不要使用分辨率太大的图片,一般一张图片尽量控制在 20KB 一下。 个人主页中也不要过多使用 Java class 的小程序和过于复杂的 Java 脚本,这些只起到点缀的作用就行了,用得太多了,浏览网页的速度也会变得非常迟钝。 制作主页时还要特别小心语言版本的问题,特别是中文。 选用的内码或字体错误的话,访问时就会出现乱码或字体扭曲等问题。 五. 域名和无形资产每个个人主页都有自己的域名,就像人总有个名字。 起名字也有很多讲究。 很多人会模仿著名网站的名字,在别人的拼写上改一改字母之类的。 其实这样并不好,没有了自己的个性,反而不容易给人留下深刻的印象。 还是自己取个好名字吧。 另外常看到有人写着“永久域名 ”之类的。 其实这些都是二级域名,一些网络公司免费提供的而已。 这些都称不上永久域名,因为公司随时可以停止服务的。 最好是能拥有自己的国际顶级域名,这才是永远属于你自己的。 其实这也并不是一笔非常昂贵的费用,但确是主页长期发展的根本保障。 当然,如果觉得没必要,使用免费二级域名也不错。
Apps在苹果商店上架的流程是怎样的
非常的繁琐。 以下是苹果官方的解释:准备提交到 App Store您的大部分时间都花在了编程任务上,但是要为 App Store 开发应用程序,您还需要在应用程序的整个生命周期中,使用 Xcode 和其他工具来执行一些管理任务。 App Store 是一个受监管的商店,限制哪些应用程序可以销售。 Apple 这么做是为了尽可能地为用户提供最佳体验。 例如,在 App Store 上出售的应用程序不得崩溃或出现其他主要错误。 Apple 为您提供了所需的工具,来进行开发和测试,以及将应用程序提交到 App Store。 要在设备上运行应用程序,设备需要为开发和稍后的测试做好预备工作。 还需要提供应用程序的相关信息,以供 App Store 显示给客户,并且还需要上传屏幕快照。 然后将应用程序提交给 Apple 审批。 应用程序审批通过后,您设定应用程序在 App Store 上架销售的日期。 最后,使用 Apple 的工具来监测应用程序的销售、客户评论和崩溃报告。 然后再次重复整个流程,来提交应用程序的更新。 如果使用某些技术(例如 iCloud 储存或应用程序内购买),则需要执行额外的配置和管理任务。 您还要执行管理开发者团队的任务。 加入 iOS Developer Program要为 App Store 开发应用程序,首先需要加入 iOS Developer Program。 加入该计划之后,您可以访问所需的资源和工具,来管理您的帐户,以及在设备上测试应用程序。 您将成为与 Apple 联络的主要人员,负责签订法律条款、创造资产并推广您的应用程序。 您将要回答是个人开发者,还是公司开发者。 如果是公司开发者,您可以将其他人添加到您的团队,并授予权限给他们中的某些人来管理帐户。 在开发期间,需要在设备上运行应用程序的个别人士,要先加入您的团队。 您将使用以下 iOS Developer Program 网上工具来管理您的帐户:Member Center 是管理 Developer Program 帐户、注册 App ID 和设备、制作签名证书以及创建预置描述文件的工具。 Member Center 还是通向其他资源和工具(包括 iTunes Connect)的大门。 iTunes Connect 是营销和商务工具,用来检查合同状态、设置税务及银行信息、获取销售及财务报告,以及管理应用程序元数据。 您可以使用 Xcode 执行某些 Member Center 的管理任务,再根据需要返回到 Member Center,这些管理任务对安全来说是非常必要的,并确保您的应用程序不会被过早发布。 为 App Store 创建项目并进行配置从模板创建 Xcode 项目时,某些 App Store 配置已经完成。 Xcode 会提示您输入产品名称和公司标识符。 捆绑包 ID 就来自这两项属性。 例如,在 HelloWorld 项目中,产品名称是 HelloWorld,公司标识符是 。 因此,默认的捆绑包 ID 为 。 Xcode 也为其他值使用合理的默认值。 您应该认真考虑,使用哪个模板来创建应用程序,使用什么设置来配置项目;从正确的模版开始,有助于加速开发过程。 如果想要稍后更改这些设置,或使用 iCloud 储存,您可在 Xcode 的目标“Summary”面板中找到大部分设置,包括启用权利。 例如要通过验证测试,您需要设定应用程序图标和启动画面,它们出现在“Summary”面板上的“iPhone/iPod Deployment Info”下面。 这些图像用来在 App Store 中代表您的应用程序。 为开发预备好设备开发期间,要在设备上运行应用程序,该设备必须连接到 Mac、已启动开发功能,并经过 Apple 识别。 只需提供应用程序、您本人和设备的一些相关信息,就可以完成以上准备工作。 您创建一种名为 development certificate 的签名证书来标识您自己。 所有这些信息都会纳入开发预置描述文件,该文件最终要安装到设备上并允许应用程序开启。 通过使用 Xcode 为您创建的默认 App ID 和 iOS 团队预置描述文件 (iOS Team Provisioning Profile),您可以使用 Xcode 中的“Devices”管理器来预备设备,以进行开发。 (但是,如果使用 iCloud 储存、推送通知、应用程序内购买或 Game Center,则需要创建一个专用预置描述文件。 )第一次在“Devices”管理器中刷新预置描述文件时,Xcode 会创建您的签名证书。 Xcode 代表您创建开发和分发证书 (development and distribution certificates)。 (分发证书在稍后测试和提交应用程序到 App Store 时需要。 )iOS 团队预置描述文件可让您立即开始在设备上运行应用程序。 首次将设备添加到您的帐户时,Xcode 会使用默认 App ID、设备 ID 和您的开发证书来创建 iOS 团队预置描述文件。 只需要将设备与 Mac 连接,然后点按“Use for Development”按钮,将设备添加到 iOS 团队预置描述文件。 然后,Xcode 自动将此描述文件安装在您的 Mac 连接着的设备上。 预备新设备以用于开发时,Xcode 也更新此预置描述文件。 生成应用程序时,您要进行代码签署,采用的签名证书就包含在要使用的预置描述文件中。 在 Xcode 项目编辑器中,使用“Code Signing Identity”生成设置弹出式菜单,将“Code Signing Identity”设定为 iOS 团队预置描述文件中包含的开发者证书。 将设备预备好用于开发后,可以告诉 Xcode 在设备上启动应用程序。 方法是在生成应用程序前,在“Scheme”弹出式菜单中,更改运行目的位置的设置。 将附带有效预置描述文件的设备连接到 Mac 时,设备名称和其运行的 iOS 版本,会作为选项出现在目的“Scheme”弹出式菜单中。 选取“Product”>“Edit Scheme”以打开方案编辑器。 将设备预备好用于开发后,可以告诉 Xcode 在设备上启动应用程序。 方法是在生成应用程序前,在“Scheme”弹出式菜单中,更改运行目的位置的设置。 将附带有效预置描述文件的设备连接到 Mac 时,设备名称和其运行的 iOS 版本,会作为选项出现在目的“Scheme”弹出式菜单中。 选取“Product”>“Edit Scheme”以打开方案编辑器。 在多个设备和多个 iOS 版本上测试应用程序您应该制定计划,在各种设备和 iOS 版本上严格测试应用程序。 仅使用模拟器并仅在预备用于开发的设备上测试应用程序,是不够的。 模拟器不能运行在设备上运行的所有线程,使用 Xcode 在设备上开启应用程序,会停用某些监察定时器 (watchdog timer)。 至少,您应该在所有能找到的设备上测试应用程序。 最理想的做法是,在打算支持的所有设备和 iOS 版本上测试应用程序。 做法是创建一个名为 adhoc provisioning profile(临时预置描述文件)的特殊分发预置描述文件,并将其和应用程序一起发送给测试员。 临时预置描述文件不需要将测试员添加到您的团队,不需要创建签名证书或使用 Xcode 运行应用程序。 应用程序测试员仅需在他们的设备上安装该应用程序和临时预置描述文件,就可启动应用程序。 然后,可以从这些测试员收集和分析崩溃报告或日志,从而解决问题。 首先,从测试员那里收集所有的设备 ID,并将它们添加到 Member Center。 测试员可使用 iTunes 来获得他们设备的 ID。 通过使用 Member Center,您可以创建包含您的 App ID 和这些设备 ID 的临时预置描述文件。 应用程序可用于测试时,使用 Xcode 来创建归档和生成 iOS App Store 软件包(文件扩展名为 的文件)。 在“Archives”管理器中,选择归档,点按“Distribute”按钮,然后点按“Save for Enterprise or Ad-Hoc Deployment”选项来创建软件包。 创建软件包时,您先使用临时预置描述文件中的分发证书给归档签名,然后将软件包分发给测试员。 应用程序可用于测试时,使用 Xcode 来创建归档和生成 iOS App Store 软件包(文件扩展名为 的文件)。 在“Archives”管理器中,选择归档,点按“Distribute”按钮,然后点按“Save for Enterprise or Ad-Hoc Deployment”选项来创建软件包。 创建软件包时,您先使用临时预置描述文件中的分发证书给归档签名,然后将软件包分发给测试员。 测试员使用 iTunes 在他们的设备上安装预置描述文件和应用程序。 应用程序在设备上崩溃时,iOS 会创建该事件的记录。 下次测试员将设备连接到 iTunes 时,iTunes 会将这些记录(称为“崩溃日志”)下载到测试员的 Mac 上。 测试员应该将这些崩溃日志发送给您。 在 iTunes Connect 中配置应用程序数据应用程序在 App Store 销售时,该商店会显示应用程序的很多信息,包括名称、描述、图标、屏幕快照和您公司的联系信息。 要提供这些信息,请登录到 iTunes Connect,为应用程序创建记录并填写一些表单。 iTunes Connect 中的记录包括捆绑包 ID 栏;在此栏中输入的值必须完全匹配应用程序的捆绑包 ID。 应用程序名称和版本也需要与 Xcode 项目配置相符。 插图需要上传到 App Store 以通过验证测试,App Store 要用它们将应用程序展示给客户。 应用程序记录状态至少应该是“Waiting for Upload”,才可将应用程序提交到 App Store。 通常在开发过程的较后阶段,才创建 iTunes Connect 应用程序记录,因为从创建记录到提交应用程序之间有时间限制。 但是,一些 Apple 技术(包括 Game Center 和应用程序内购买)要求早一点创建 iTunes Connect 记录。 例如,对应用程序内购买而言,需要创建应用程序记录以便添加您想要出售项目的详细信息。 此内容需要在开发过程完成之前创建,以便使用它来测试实现应用程序内购买所添加的代码。 将应用程序分发到 App Store将应用程序提交到 App Store 需要很多步骤,还会用到几个工具。 首先登录到 iTunes Connect,将应用程序记录的状态更改为“Waiting for Upload”或靠后的状态。 然后使用 Member Center 创建分发证书和分发预置描述文件。 使用 Xcode 创建归档、验证归档,并将其提交到 App Store。 应用程序通过审批后,使用 iTunes Connect 设定让客户购买该应用程序的日期。 当应用程序准备发布时,您需要创建分发预置描述文件 (distribution provisioning profile),选择 App Store 作为分发方法。 创建这种类型的预置描述文件时,只需选择一个 App ID,而不选择任何签名证书或设备 ID。
发表评论