.net 为了测试的目的寻找故意易受攻击的nuget包

06odsfpq  于 2023-04-22  发布在  .NET
关注(0)|答案(1)|浏览(116)

我正在寻找一个或多个故意包含漏洞的nuget包。我想测试一些安全工具,这些工具应该能够自动在我的项目中拾取此类nuget并通知我,但我很难找到任何nuget包。

pvcm50d1

pvcm50d11#

如果您转到GitHub Advisories Database,则可以单击NuGet ecosystem
first advisory listed at the time I'm writing this列出了4个受影响的包,尽管它们都是运行时包,所以也许你不想用这个包进行测试。
first advisory that is not part of the .NET runtime at the time I'm writing this是一个名为Snappier的软件包,进入软件包详细信息页面,www.example.com上的版本选项卡nuget.org,我可以看到版本1.1.0被列为具有已知漏洞。
你可能还对this advisory on Newtonsoft.Json感兴趣,它会影响所有旧版本的包,这一点值得注意,因为Newtonsoft.Json是一个非常常用的包,无论是直接使用还是通过直接包依赖关系传递。

相关问题