Tencent Security Xuanwu Lab Daily News
• 绕过 CSP,实现 Netlify CDN 上XSS – Guge’s Blog:
https://sectoday.tencent.com/api/article/vtpbCZIBsusscDXmlttD/link
・ 讨论了在Netlify图像CDN上发现的XSS漏洞以及如何绕过CSP
– WireFish
• SAP Hash Cracking Techniques:
https://redrays.io/blog/sap-hash-cracking-techniques/
・ 介绍了哈希破解的重要性,讨论了SAP系统中密码存储的细节,以及用于在SAP环境中检索密码哈希的特定事务和功能。
– WireFish
• Proroute H685 4G router vulnerabilities:
https://www.pentestpartners.com/security-blog/proroute-h685-4g-router-vulnerabilities/
・ 详细分析了Proroute H685t-w 4G路由器的两个漏洞,包括经过身份验证的命令注入和反射型跨站脚本漏洞。
– WireFish
• Exploiting Android Client WebViews with Help from HSTS:
https://seanpesce.github.io/Research-Blog-Redirector/2024/09/exploiting-android-client-webviews-with.html
・ 利用Android客户端WebViews的漏洞
– WireFish
• SecToday Next:
https://sectoday.tencent.com/event/eJ1TDZIBMw8bedWYPADx
・ 近期,在赛蓝企业和顺景企业的管理软件中发现了严重的安全漏洞,其中包括SQL注入和任意文件上传的问题。这些问题可能导致远程代码执行和系统控制权丢失的风险显著增加。
– WireFish
• SecToday Next:
https://sectoday.tencent.com/event/eZ1TDZIBMw8bedWYaQC5
・ 近期揭露的一项称为”云强加者”(CloudImposer)的重大漏洞出现在谷歌云平台(Google Cloud Platform, 简称GCP)的服务中,尤其是其流行的Composer工作流程编排工具。这一漏洞源自于软件供应链管理不当导致的依赖混淆问题,即第三方恶意软件能够伪装成合法组件,诱骗GCP系统加载这些恶意程序而不是原本计划使用的正规组件。这种策略让攻击者得以在未授权的情况下执行远程代码,潜在地操控或破坏受影响系统的功能。
– WireFish
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(9-20)
