CTF导航 CTF导航

每日安全动态推送(6-15)

渗透技巧 1年前 (2023) admin
372 0 0
Tencent Security Xuanwu Lab Daily News

• CVE-2023-2008:
https://github.com/bluefrostsecurity/CVE-2023-2008

   ・ Linux udmabuf 内核漏洞 PoC,攻击者需位于 kvm 用户组中 – SecTodayBot


• Experts Unveil Exploit for Recent Windows Vulnerability Under Active Exploitation:
https://thehackernews.com/2023/06/experts-unveil-poc-exploit-for-recent.html

   ・ Microsoft Windows Server 2016 Win32k 组件中的提权漏洞 – SecTodayBot


• Exploiting CVE-2022-24816: A code injection in the jt-jiffle extension of GeoServer:
https://www.synacktiv.com/publications/exploiting-cve-2022-24816-a-code-injection-in-the-jt-jiffle-extension-of-geoserver

   ・ GeoServer 的 jt-jiffle 扩展中的代码注入 – SecTodayBot


• Jasper Reports Library Code Injection:
https://insinuator.net/2023/06/jasper-reports-library-code-injection/

   ・ Jasper Reports Java 库包含代码注入漏洞 – SecTodayBot


• Hackers can steal cryptographic keys by video-recording power LEDs 60 feet away:
https://packetstormsecurity.com/news/view/34719

   ・ 通过使用 iPhone 或商业监控系统中的摄像头来恢复存储在智能卡和智能手机中的加密密钥,以视频记录显示读卡器或智能手机何时打开的电源 LED。通过仔细监控功耗、声音、电磁辐射或操作发生所需时间等特性,攻击者可以收集足够的信息来恢复支持加密算法安全性和机密性的密钥 – SecTodayBot


• GitHub – redpwn/jail: An nsjail Docker image for CTF pwnables. Easily create secure, isolated inetd-style services.:
https://github.com/redpwn/jail

   ・ redpwn/jail 是一个基于 nsjail 的 Docker 镜像,可以非常容易地部署 CTF Pwnables 和其他类型的服务,用于 CTF 比赛 – SecTodayBot


• Pentesting Xamarin Android apps: DLLs and root check bypass:
https://security.humanativaspa.it/pentesting-xamarin-android-apps-dlls-and-root-check-bypass/

   ・ 如何检测和绕过应用程序 DLL 中的一些基本安全检查,例如根检查,以便能够基于 Android 平台开始测试用 Xamarin 编写的 Android 移动应用程序 – SecTodayBot


• 「?」 About Mantra:
https://github.com/MrEmpy/Mantra

   ・ 一种在 JavaScript 文件和 HTML 文件中搜索 API 密钥以查找与 API 密钥相同或相似的字符串的工具,可用于验证使用外部 API 的应用程序和网站是否充分保护了其密钥 – SecTodayBot


• deepsecrets: a better tool for secret scanning:
https://securityonline.info/deepsecrets-a-better-tool-for-secret-scanning/

   ・ 一种用于在文件的 pythonic 表示中查找机密数据的工具,基于文件的语言,可以通过词法分析和解析找到机密数据。代码理解支持 500 多种语言和格式,并实现了一种寻找机密数据的新方法:只需使用已知的哈希值,就可以在代码中找到它们 – SecTodayBot


* 查看或搜索历史推送内容请访问:
https://sec.today

* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab


原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(6-15)

版权声明:admin 发表于 2023年6月15日 上午11:41。
转载请注明:每日安全动态推送(6-15) | CTF导航

相关文章

CVE-2023-46263: IVANTI AVALANCHE ARBITRARY FILE UPLOAD VULNERABILITY
admin
67
使用JDK类绕过TemplatesImpl黑名单
admin
242
[论文分享]Utopia:Efficient Addr Translation with Hybrid Addr Mapping
admin
335
CRTOを受けてきました 我收到了 CRTO
admin
140
X-Force uncovers global NetScaler Gateway credential harvesting campaign
admin
164
每日安全动态推送(03-16)
admin
724

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

Boolean-based SQL Injection in ZoneMinder v1.37.* <= 1.37.64
0
Open-Source Intelligence Summit 2024议题慢递
0
NTLM Relaying – Making the Old New Again
0
每日安全动态推送(24/11/4)
0
wuzhicms<=4.1.0后台RCE(0day)
0
每周蓝军技术推送(2024.10.26-11.1)
0
Apache Solr漏洞CVE-2024-45216分析
0
某小型cms漏洞复现审计
0
Distributed RPC Framework RemoteModule has Deserialization RCE in pytorch/pytorch(CVE-2024-48063)
0
JWT(JSON Web Token) 攻击面小结
0