每日安全动态推送(7-31)

渗透技巧 1年前 (2023) admin

169 0 0

• This minuscule 4 KB file can allow an attacker to take over your Windows system:
https://techkranti.com/the-wrath-of-windows-lnk-files/

・ Windows 快捷方式文件可用于诱骗用户在系统上执行任意命令 – SecTodayBot

• 慢雾：起底假充值攻击如何突破交易所的层层防御:
https://mp.weixin.qq.com/s/k8nOSPFpmT0J9_fEYc0iJQ

・假充值攻击如何突破交易所的层层防线 – SecTodayBot

• GHSL-2023-116: Denial of Service (DoS) in MySQL – CVE-2023-22057:
https://securitylab.github.com/advisories/GHSL-2023-116_MySQL/

・ MySQL中存在Denial of Service (DoS) 漏洞- CVE-2023-22057 – SecTodayBot

・微软宣布了一项新的 IoT Defender 功能，该功能将允许分析路由器等嵌入式 Linux 设备的固件，以查找安全漏洞和常见弱点。这项新功能被称为固件分析，现已推出公共预览版，可以检测各种弱点，从硬编码的用户帐户和过时的开源包到制造商私有加密签名密钥的使用 – SecTodayBot

・嵌入可扩展矢量图形 (SVG) 可能会使网站遭受代码注入。这篇博文探讨了 SVG 的工作原理、它们带来的风险以及如何减轻这些风险 – SecTodayBot

• CVE-2023-38633: Arbitrary file read when xinclude href has special characters (#996) · Issues · GNOME / librsvg · GitLab:
https://gitlab.gnome.org/GNOME/librsvg/-/issues/996

・ CVE-2023-38633 xinclude href 包含特殊字符时可读取任意文件 – SecTodayBot

• GitHub – CiscoCXSecurity/unix-audit: Framework for generating audit commands for Unix security audits:
https://github.com/CiscoCXSecurity/unix-audit

・ unix-audit 可以生成包含要在目标系统上运行的命令的 shell 脚本，安全测试团队（渗透测试人员和红队人员）可以使用这些脚本来收集信息以进行测绘和审计 – SecTodayBot

* 查看或搜索历史推送内容请访问：
https://sec.today

* 新浪微博账号：腾讯玄武实验室
https://weibo.com/xuanwulab