每日安全动态推送(9-20)
2024-9-20 15:59:39 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

Tencent Security Xuanwu Lab Daily News

• 绕过 CSP,实现 Netlify CDN 上XSS - Guge's Blog:
https://sectoday.tencent.com/api/article/vtpbCZIBsusscDXmlttD/link

   ・ 讨论了在Netlify图像CDN上发现的XSS漏洞以及如何绕过CSP – WireFish

• SAP Hash Cracking Techniques:
https://redrays.io/blog/sap-hash-cracking-techniques/

   ・ 介绍了哈希破解的重要性,讨论了SAP系统中密码存储的细节,以及用于在SAP环境中检索密码哈希的特定事务和功能。 – WireFish

• Proroute H685 4G router vulnerabilities:
https://www.pentestpartners.com/security-blog/proroute-h685-4g-router-vulnerabilities/

   ・ 详细分析了Proroute H685t-w 4G路由器的两个漏洞,包括经过身份验证的命令注入和反射型跨站脚本漏洞。 – WireFish

• Exploiting Android Client WebViews with Help from HSTS:
https://seanpesce.github.io/Research-Blog-Redirector/2024/09/exploiting-android-client-webviews-with.html

   ・ 利用Android客户端WebViews的漏洞 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/eJ1TDZIBMw8bedWYPADx

   ・ 近期,在赛蓝企业和顺景企业的管理软件中发现了严重的安全漏洞,其中包括SQL注入和任意文件上传的问题。这些问题可能导致远程代码执行和系统控制权丢失的风险显著增加。 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/eZ1TDZIBMw8bedWYaQC5

   ・ 近期揭露的一项称为"云强加者"(CloudImposer)的重大漏洞出现在谷歌云平台(Google Cloud Platform, 简称GCP)的服务中,尤其是其流行的Composer工作流程编排工具。这一漏洞源自于软件供应链管理不当导致的依赖混淆问题,即第三方恶意软件能够伪装成合法组件,诱骗GCP系统加载这些恶意程序而不是原本计划使用的正规组件。这种策略让攻击者得以在未授权的情况下执行远程代码,潜在地操控或破坏受影响系统的功能。 – WireFish

* 查看或搜索历史推送内容请访问:
https://sec.today

* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5NDYyNDI0MA==&mid=2651959801&idx=1&sn=8f0ed75db6dc4d9b81414622602191f7&chksm=8baed166bcd95870f61b8cb1c2ebdd0f3bbd77b26dc049635d678e9fd93e75add90593329f0a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh