• Keylogger keyboard leaks passwords via Apple's "Find My" location network:
https://www.heise.de/news/Keylogger-keyboard-leaks-passwords-via-Apple-s-Find-My-location-network-9344806.html
・ 苹果的“Find My”跟踪网络可用于追踪丢失物品,但恶意行为者可以滥用它来泄露数据。一款带有键盘记录器的键盘已经证明了这一点,黑客可以利用它窃取密码并将其发送给自己,绕过本地网络中的所有安全措施,通过附近未涉及人员的iPhone和其他苹果设备进行传输
– SecTodayBot
• Cve-Collector - Simple Latest CVE Collector:
http://dlvr.it/SyFPt0
・ 一个用Python编写的简单最新CVE收集器,它使用网页爬虫和HTML解析来收集https://www.cvedetails.com上严重程度为6或更高的漏洞信息,并创建一个简单的基于分隔符的文件作为数据库。
– SecTodayBot
• Pen-Testing Salesforce Apps: Part 2 (Fuzz & Exploit):
https://infosecwriteups.com/in-simple-words-pen-testing-salesforce-saas-application-part-2-fuzz-exploit-eefae11ba5ae
・ 一篇关于测试Salesforce SAAS应用程序的博客文章,重点介绍了实际的渗透测试步骤和工具使用
– SecTodayBot
• Cisco AnyConnect SSL VPN Flaw Let Remote Attacker Launch DoS Attack:
https://gbhackers.com/cisco-anyconnect-ssl-vpn-flaw/
・ Cisco AnyConnect SSL VPN功能中发现了一个中等严重性的漏洞(CVE-2023-20042),CVSS评分为6.8,可能导致未经身份验证的远程攻击者造成拒绝服务(DoS)。
– SecTodayBot
• MuddyWater eN-Able spear-phishing with new TTPs | Deep Instinct Blog:
https://www.deepinstinct.com/blog/muddywater-en-able-spear-phishing-with-new-ttps
・ MuddyWater组织最新的网络钓鱼攻击采用了更新的技术和战术,利用LNK文件进行感染,并使用远程管理工具进行侦察。
– SecTodayBot
• Exploiting the libwebp Vulnerability, Part 1: Playing with Huffman Code:
https://blog.darknavy.com/blog/exploiting_the_libwebp_vulnerability_part_1/
・ 介绍苹果WebP解码器漏洞利用
– SecTodayBot
• 警惕Hugging Face开源组件风险被利用于大模型供应链攻击:
https://security.tencent.com/index.php/blog/msg/209
・ Hugging Face开源组件datasets存在供应链后门投毒攻击风险
– SecTodayBot
• ZDI-23-1581:
https://www.zerodayinitiative.com/advisories/ZDI-23-1581/
・ 微软Exchange存在漏洞,攻击者可远程获取敏感信息。需身份验证才能利用此漏洞,主要问题在CreateAttachmentFromUri方法中,缺乏对URI的适当验证。
– SecTodayBot
• 重温漏洞 CVE-2021-27198:从文件上传到代码执行分析:
https://paper.seebug.org/3069/
・ 重温漏洞 CVE-2021-27198:从文件上传到代码执行分析
– lanying37
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab