【知识】5月12日每日安全知识热点

作者：嘿嘿可爱无罪 | 来源：互联网 | 2023-09-18 12:12

热点概要：惠普电脑的音频驱动中发现内置的keylogger、OnePlus OTA相关的漏洞分析与利用、基于DOM的AngularJS沙箱逃逸、Vanilla Forums 2.3以下版本无需认证的

热点概要：惠普电脑的音频驱动中发现内置的keylogger、OnePlus OTA相关的漏洞分析与利用、基于DOM的AngularJS沙箱逃逸、Vanilla Forums 2.3以下版本无需认证的远程代码执行漏洞、EnCase Forensic Imager取证工具存在栈溢出漏洞可以被恶意软件实现远程控制、OpenVPN 2.4.0未认证的拒绝服务、漫谈同源策略攻防、Hack PHP mail additional_parameters

资讯类：

惠普电脑的音频驱动中发现内置的键盘记录器

http://securityaffairs.co/wordpress/59013/hacking/hp-keylogger-conexant-audio-driver.html

技术类：

我的汽车保险如何暴露我的位置

https://www.andreascarpino.it/posts/how-my-car-insurance-exposed-my-position.html

惠普电脑的音频驱动中发现内置的keylogger

https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt

哈希套件 – Windows密码安全审查工具

http://www.openwall.com/lists/oss-security/2017/05/10/3

OnePlus OTA相关的漏洞分析与利用

https://alephsecurity.com/2017/05/11/oneplus-ota/

OpenVPN 2.4评估和报告

https://www.privateinternetaccess.com/blog/2017/05/openvpn-2-4-evaluation-summary-report/

对Mac os上的Proton.B恶意样本分析

https://www.cybereason.com/labs-proton-b-what-this-mac-malware-actually-does/

基于DOM的AngularJS沙箱逃逸

http://blog.portswigger.net/2017/05/dom-based-angularjs-sandbox-escapes.html

Gixy的主要目标是防止Nginx安全配置错误，并自动进行缺陷检测

https://github.com/yandex/gixy

Vanilla Forums <= 2.3 Host头注入CVE-2016-10073

https://exploitbox.io/vuln/Vanilla-Forums-Exploit-Host-Header-Injection-CVE-2016-10073-0day.html

Vanilla Forums <= 2.3无需认证的远程代码执行漏洞

https://exploitbox.io/vuln/Vanilla-Forums-Exploit-RCE-0day-Remote-Code-Exec-CVE-2016-10033.html

通过一个ImageMagick 漏洞泄漏 dropbox.com 和 box.com服务器上的内存

https://scarybeastsecurity.blogspot.com/2017/05/proving-missing-aslr-on-dropboxcom-and.html

EnCase Forensic Imager取证工具存在栈溢出漏洞可以被恶意软件实现远程控制

http://blog.sec-consult.com/2017/05/chainsaw-of-custody-manipulating.html

https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20170511-0_Guidance_Software_Encase_Stack_based_buffer_overflow_v10.txt

Windows 10 HAL’s Heap – Extinction of the "HalpInterruptController" Table Exploitation Technique

https://labs.bluefrostsecurity.de/blog/2017/05/11/windows-10-hals-heap-extinction-of-the-halpinterruptcontroller-table-exploitation-technique/

黑客XSS的天堂

http://xssor.io/

AppLocker Bypass – Regsvr32

https://pentestlab.blog/2017/05/11/applocker-bypass-regsvr32/

Hack PHP mail additional_parameters

http://blog.nsfocus.net/hack-php-mail-additional_parameters/

百度BSRC SQL注入挑战赛部分writeup

http://blog.nudtcat.org/SQL%E6%B3%A8%E5%85%A5/%E7%99%BE%E5%BA%A6BSRC-SQL%E6%B3%A8%E5%85%A5%E6%8C%91%E6%88%98%E8%B5%9B%E9%83%A8%E5%88%86writeup/

漫谈同源策略攻防

https://eth.space/same-origin-policy-101/

乐固加固（17年1月）逆向分析

http://bbs.pediy.com/thread-217556.htm

关于Android应用程序漏洞的防护措施

http://www.freebuf.com/articles/terminal/134018.html

Microsoft OneDrive iOS App 8.13 URI处理不当

https://cxsecurity.com/issue/WLB-2017050071

OpenVPN 2.4.0未认证的拒绝服务

https://www.exploit-db.com/exploits/41993/

XXE漏洞利用的一些技巧

http://www.91ri.org/17052.html

推荐阅读

io
优化后的标题：hCalendar微格式：深入解析事件与时间、地点相关的活动标记方法

本文深入探讨了 hCalendar 微格式在事件与时间、地点相关活动标记中的应用。作为微格式系列文章的第四篇，前文已分别介绍了 rel 属性用于定义链接关系、XFN 微格式增强链接的人际关系描述以及 hCard 微格式对个人和组织信息的描述。本次将重点解析 hCalendar 如何通过结构化数据标记，提高事件信息的可读性和互操作性。 ... [详细]

蜡笔小新 2024-11-04 17:57:52
search
WordPress Duplicator 0.4.4 版本存在跨站脚本攻击漏洞分析

在对WordPress Duplicator插件0.4.4版本的安全评估中，发现其存在跨站脚本（XSS）攻击漏洞。此漏洞可能被利用进行恶意操作，建议用户及时更新至最新版本以确保系统安全。测试方法仅限于安全研究和教学目的，使用时需自行承担风险。漏洞编号：HTB23162。 ... [详细]

蜡笔小新 2024-11-10 13:16:43
io
基于Net Core 3.0与Web API的前后端分离开发：Vue.js在前端的应用

本文介绍了如何使用Net Core 3.0和Web API进行前后端分离开发，并重点探讨了Vue.js在前端的应用。后端采用MySQL数据库和EF Core框架进行数据操作，开发环境为Windows 10和Visual Studio 2019，MySQL服务器版本为8.0.16。文章详细描述了API项目的创建过程、启动步骤以及必要的插件安装，为开发者提供了一套完整的开发指南。 ... [详细]

蜡笔小新 2024-11-11 10:58:21
io
微软推出Windows Terminal Preview v0.10

微软近期发布了Windows Terminal Preview v0.10，用户可以在微软商店或GitHub上获取这一更新。该版本在2月份发布的v0.9基础上，新增了鼠标输入和复制Pane等功能。 ... [详细]

蜡笔小新 2024-11-12 16:15:56
search
解决Bootstrap DataTable Ajax请求重复问题

在最近的一个项目中，我们使用了JQuery DataTable进行数据展示，虽然使用起来非常方便，但在测试过程中发现了一个问题：当查询条件改变时，有时查询结果的数据不正确。通过FireBug调试发现，点击搜索按钮时，会发送两次Ajax请求，一次是原条件的请求，一次是新条件的请求。 ... [详细]

蜡笔小新 2024-11-12 13:59:27
input
php更新数据库字段的函数是,php更新数据库字段的函数是

php更新数据库字段的函数是,php更新数据库字段的函数是 ... [详细]

蜡笔小新 2024-11-12 11:37:31
io
解决Parallels Desktop错误15265的方法

本文详细介绍了在使用Parallels Desktop时遇到错误15265的多种解决方案，包括检查网络连接、关闭代理服务器和修改主机文件等步骤。 ... [详细]

蜡笔小新 2024-11-12 05:14:12
io
华为云对象存储系统配置指南

本指南详细介绍了如何利用华为云对象存储服务构建视频点播（VoD）平台。通过结合开源技术如Ceph、WordPress、PHP和Nginx，用户可以高效地实现数据存储、内容管理和网站搭建。主要内容涵盖华为云对象存储系统的配置步骤、性能优化及安全设置，为开发者提供全面的技术支持。 ... [详细]

蜡笔小新 2024-11-11 14:29:52
input
DVWA学习笔记系列：深入理解CSRF攻击机制

DVWA学习笔记系列：深入理解CSRF攻击机制 ... [详细]

蜡笔小新 2024-11-11 13:19:51
io
Android 中的 exported 属性详解与应用

在 Android 开发中，`android:exported` 属性用于控制组件（如 Activity、Service、BroadcastReceiver 和 ContentProvider）是否可以被其他应用组件访问或与其交互。若将此属性设为 `true`，则允许外部应用调用或与之交互；反之，若设为 `false`，则仅限于同一应用内的组件进行访问。这一属性对于确保应用的安全性和隐私保护至关重要。 ... [详细]

蜡笔小新 2024-11-10 14:14:26
io
优化Nginx与PHP的高效配置方法

在优化Nginx与PHP的高效配置过程中，许多教程提供的配置方法存在诸多问题或不良实践。本文将深入探讨这些常见错误，并详细介绍如何正确配置Nginx和PHP，以实现更高的性能和稳定性。我们将从Nginx配置文件的基本指令入手，逐步解析每个关键参数的最优设置，帮助读者理解其背后的原理和实际应用效果。 ... [详细]

蜡笔小新 2024-11-09 18:24:15
io
探究HTML5应用中的三种Accordion交互效果

在HTML5应用中，Accordion（手风琴，又称抽屉）效果因其独特的展开和折叠样式而广泛使用。本文探讨了三种不同的Accordion交互效果，通过层次结构优化信息展示和页面布局，提升用户体验。这些效果不仅增强了视觉效果，还提高了内容的可访问性和互动性。 ... [详细]

蜡笔小新 2024-11-04 18:09:29
io
如何在AppFog免费云平台上部署WordPress：详细图文指南

AppFog 是一个基于 CloudFoundry 的多语言 PaaS（平台即服务）提供商，允许用户在其平台上轻松构建和部署 Web 应用程序。本文将通过详细的图文步骤，指导读者如何在 AppFog 免费云平台上成功部署 WordPress，帮助用户快速搭建个人博客或网站。 ... [详细]

蜡笔小新 2024-11-02 12:50:27
python
手机上编写和运行PHP代码的最佳软件推荐

手机上编写和运行PHP代码的最佳软件推荐 ... [详细]

蜡笔小新 2024-10-27 21:10:40
io
在Linux系统中Nginx环境下SSL证书的安装步骤与WordPress CDN的高级配置指南

在Linux系统中，Nginx环境下安装SSL证书的具体步骤及WordPress CDN的高级配置指南。首先，安装SSL证书需要准备两个关键配置文件，并建议在操作前备份相关服务器配置文件，以确保数据安全。随后，本文将详细介绍如何在Nginx中正确配置SSL证书，以及如何优化WordPress的CDN设置，提升网站性能和安全性。 ... [详细]

蜡笔小新 2024-10-26 09:59:17

嘿嘿可爱无罪

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章