Hacking8 安全信息流
最近更新
| 时间 | 节点 | |
|---|---|---|
| 2024年5月6日 03:43 | Github_POC |
Versions of the package tough-cookie before 4.1.3 are vulnerable to Prototype Pollution due to improper handling of Cookies when using CookieJar in rejectPublicSuffixes=false mode. This issue arises from the manner in which the objects are initialized. [GitHub]Fix open source package uses tough-cookie 2.5.0 to process their clients' cookies. Unfortunately, it is affected by CVE-2023-26136. " 版本在 4.1.3 之前的 tough-cookie 软件包,在使用 CookieJar 时由于处理 Cookie 不当,导致拒绝公共后缀模式(rejectPublicSuffixes=false)下容易出现原型污染漏洞。此问题源于对象初始化的方式。\n\n[GitHub] 修复开源软件包使用 tough-cookie 2.5.0 处理客户端的 Cookie。不幸的是,它受到了 CVE-2023-26136 影响。" |
| 2024年5月6日 00:13 | SecWiki周报 |
大模型安全开源项目汇总 https://mp.weixin.qq.com/s/ofMytXbFEhkaCDQWQy0KqA |
| 2024年5月5日 21:13 | Github关注 |
Specific C2 Detection Tool Written To Detect C2 Servers From Rhadamanthys Stealer Malware. |
| 2024年5月5日 20:33 | Github关注 |
A .NET Runtime for Cobalt Strike's Beacon Object Files |
| 2024年5月5日 20:33 | Github关注 | |
| 2024年5月5日 17:13 | 知名组件CVE监控 |
有新的漏洞组件被发现啦,组件ID:ThinkPHP ThinkPHP 8.0.3 allows remote attackers to discover the PHPSESSION cookie because think_exception.tpl (aka the debug error output source code) provides this in an error message for a crafted URI in a GET request. |
| 2024年5月5日 17:13 | 看雪论坛 |
title: VM逆向,一篇就够了(下) 接着上一篇文章,我们继续了解一些不一样vm。 实战三 d3sky 这一题需要了解一些TLS相关知识 TLS回调函数 TLS(Thread Local Storage,线程局部存储)是各线程的独立的存储空间,TLS回调函数是指,每当创建或终 ... |
| 2024年5月5日 15:53 | Github关注 |
Symbolic Execution Over Processor Traces |
| 2024年5月5日 15:43 | Github_POC |
[GitHub] Clario through 2024-04-11 for Windows Desktop has weak permissions for %PROGRAMDATA%\Clario and tries to load DLLs from there as SYSTEM. " [GitHub] Clario截至2024年4月11日的Windows桌面版本权限过低,试图以系统身份从%PROGRAMDATA%\\Clario加载DLL。" |
| 2024年5月5日 15:33 | 来自Phithon推荐 | |
| 2024年5月5日 15:14 | 谢乾坤 | Kingname |
利益不相关声明,今天介绍的所有工具,都跟我没有任何软文合作,也没有金钱往来。我在这篇文章里面对他们做介绍仅仅是因为他们对我确实非常有用。 最近几个月,国产大模型相继推出了自己的 App,这些 App 不仅可进行 AI 对话,还能提供各种智能工具。谈论AI对话功能的文章太多了,我就不赘述了。今天聊聊他们的其他功能。不可否认,国产大模型比国外的大模型差了不少,但我一向秉持重器轻用的观点,我不管这些App提供了多少功能,我只看它里面有没有功能适合我,即便它提供了100个功能,我可能只会使用它其中一个适合我的功能。 第一个介绍的工具是豆包中的语音识别功能。虽然字节跳动的大模型做得很一般,在国内都排不上前三名。但我发现豆包的语音识别做的非常好——速度极快,准确率也很高。而且可以让他们的模型对转录出来的文本做一些修饰,移除口癖,并把口语化的表达改写成书面化的表达。现在这篇文章中的大部分文字,都是我开车等红灯的时候,通过口述写下来的。如下图所示: 而且豆包有网页版。我在手机上口述以后,在电脑网页版上面就可以直接复制出转录的文本,如下图所示: 我创建的这个机器人,叫做转录转手,专门用来对语音识别以后的文本进行修饰。它对应的Prompt为: 在绝大部分时候,我只需要修改一下其中的少量同音错别字就可以直接使用了,节省了大量打字的时间。有时候在微信群里面回复大家提的问题,我也会直接通过豆包的语音识别来转成文本。 第二个介绍的工具,是阿里的通义听悟。它有电脑网页版,但我目前用得最多的是它的微信小程序,因为这个微信小程序里包括了电脑网页版几乎全部的功能。我日常的场景,主要是总结播客,这个场景非常适合用微信小程序来解决。我下班时,走路到地铁站大概需要13分钟。我在这13分钟,先浏览小宇宙,把所有感兴趣的播客都丢进去总结。坐上地铁以后,就可以直接看总结的结果。 如果大家也经常听播客,就会知道很多播客都是访谈或者聊天的形式。时长动辄70分钟以上,如果用耳朵听非常浪费时间。使用通义听悟的播客解析功能,就能快速解决这个问题。 通义听悟的微信小程序叫做“通义效率”,打开以后,可以看到“音视频链接”功能,如下图所示: 在这里,贴上小宇宙或者苹果Podcast里面的节目链接,就可以解析出播客内容,如下图所示: 解析过程大概5分钟就能完成。会给出你如下几个栏目: 全文概要,整体总结这个播客的内容。如下图所示: 章节速览,根据播客的内容,把播客划分成多 |
| 2024年5月5日 15:13 | freebuf |
StegCracker是一款功能强大的恶意文件分析工具,可以帮助广大研究人员使用隐写术暴力破解功能来发现恶意文件中的隐藏数据。 |
| 2024年5月5日 13:13 | freebuf |
在最近一次攻防演练的过程当中,笔者在接管打点移交的目标后,遇到了一款不太出名(默默无闻)的EDR产品........ |
| 2024年5月5日 10:13 | freebuf |
对登录方法的轻视造成一系列的漏洞出现,对接口确实鉴权造成大量的信息泄露。从小程序到web端网址的奇妙的测试就此开始。 |
| 2024年5月5日 09:43 | Github_POC |
An issue was discovered in Joomla! 4.0.0 through 4.2.7. An improper access check allows unauthorized access to webservice endpoints. [GitHub]Joomla! v4.2.8 - Unauthenticated information disclosure " 在Joomla! 4.0.0至4.2.7版本中,发现了一个问题。不当的访问检查允许未经授权的用户访问Web服务端点。\n[GitHub]Joomla! v4.2.8 - 未经身份验证的信息泄露。" |
| 2024年5月5日 08:13 | freebuf |
创新沙盒十强解读:RAD Security。 |
| 2024年5月5日 07:17 | CXSECURITY Database RSS Feed - |
Topic: Bigem Teknoloji - Blind Sql Injection Risk: Medium Text:********************************************************* #Exploit Title: Bigem Teknoloji - Blind Sql Injection #Date: 2024-0... |
| 2024年5月5日 07:17 | CXSECURITY Database RSS Feed - |
Topic: BitraTech - Sql Injection Risk: Medium Text:********************************************************* #Exploit Title: BitraTech - Sql Injection #Date: 2024-05-02 #Explo... |
| 2024年5月5日 07:17 | CXSECURITY Database RSS Feed - |
Topic: SOPlanning 1.52.00 Cross Site Request Forgery Risk: Low Text:< !-- Exploit Title: SOPlanning v1.52.00 'xajax_server.php' CSRF (Account Takeover) Application: SOPlanning Version: 1.52.00 ... |
| 2024年5月5日 07:17 | CXSECURITY Database RSS Feed - |
Topic: SOPlanning 1.52.00 SQL Injection Risk: Medium Text:Exploit Title: SOPlanning v1.52.00 'projets.php' SQLi Application: SOPlanning Version: 1.52.00 Date: 4/22/24 Exploi... |
| 2024年5月5日 07:17 | CXSECURITY Database RSS Feed - |
Topic: SOPlanning 1.52.00 Cross Site Scripting Risk: Low Text:Exploit Title: SOPlanning v1.52.00 'groupe_save.php' XSS (Reflected XSS) Application: SOPlanning Version: 1.52.00 Date: 4/22... |
| 2024年5月5日 07:17 | CXSECURITY Database RSS Feed - |
Topic: Webenlive - Sql Injection Risk: Medium Text:********************************************************* #Exploit Title: Webenlive - Sql Injection #Date: 2024-05-02 #Explo... |
| 2024年5月5日 07:17 | CXSECURITY Database RSS Feed - |
Topic: Microsoft PlayReady Cryptography Weakness Risk: High Text:Hello All, There is yet another attack possible against Protected Media Path process beyond the one involving two global XO... " 主题:Microsoft PlayReady 加密技术漏洞风险:高\n\n正文:大家好,除了涉及两个全球XO的受保护媒体路径进程攻击之外,还存在另一种可能的攻击。" |
| 2024年5月5日 07:17 | CXSECURITY Database RSS Feed - |
Topic: Elber Reble610 M/ODU XPIC IP-ASI-SDH Microwave Link Device Config Disclosure Risk: Medium Text:Elber Reble610 M/ODU XPIC IP-ASI-SDH Microwave Link Device Config Vendor: Elber S.r.l. Product web page: https://www.elbe... " 主题:Elber Reble610 M/ODU XPIC IP-ASI-SDH 微波链路设备配置披露风险:中等\n文本:Elber Reble610 M/ODU XPIC IP-ASI-SDH 微波链路设备配置\n供应商:Elber S.r.l.\n产品网页:https://www.elber.it/\n\n译文:\n主题:Elber Reble610 M/ODU XPIC IP-ASI-SDH 微波链路设备配置披露风险为中等\n内容:Elber Reble610 M/ODU XPIC IP-ASI-SDH 微波链路设备配置\n供应商:Elber S.r.l.\n产品网页:https://www.elber.it/\n\n备注:为了保证信达雅,翻译时对原文进行了适当调整,使其更符合中文表达习惯。" |
| 2024年5月5日 07:17 | CXSECURITY Database RSS Feed - |
Topic: Sandhya Branding Agency - Blind Sql Injection Risk: Medium Text:********************************************************* #Exploit Title: Sandhya Branding Agency - Blind Sql Injection #Date... |
| 2024年5月5日 04:53 | Github关注 |
WhisperPlus: Advancing Speech-to-Text Processing 🚀 |
| 2024年5月5日 04:53 | Github关注 |
A list of top AI agents |
| 2024年5月5日 04:33 | Github关注 |
An organizer for your porn, written in Go. Documentation: https://docs.stashapp.cc |
| 2024年5月5日 04:14 | Github_POC |
A path traversal vulnerability exists in the Java version of CData Sync < 23.4.8843 when running using the embedded Jetty server, which could allow an unauthenticated remote attacker to gain access to sensitive information and perform limited actions. [GitHub]CVE-2024-31851 " 在使用内置Jetty服务器运行的CData Sync < 23.4.8843 Java版本中存在路径遍历漏洞,未经身份验证的远程攻击者可能借此获取敏感信息并执行有限操作。\n[GitHub]CVE-2024-31851" |
| 2024年5月5日 03:43 | Github_POC |
Versions of the package tough-cookie before 4.1.3 are vulnerable to Prototype Pollution due to improper handling of Cookies when using CookieJar in rejectPublicSuffixes=false mode. This issue arises from the manner in which the objects are initialized. [GitHub]Fix open source package tough-cookie V 2.5.0 - CVE-2023-26136 rated as a critical vulnerability " 版本在4.1.3之前的tough-cookie软件包,在使用CookieJar时由于不当处理Cookie,处于rejectPublicSuffixes=false模式下容易受到原型污染。这个问题源于对象初始化的方式。\n[GitHub]修复开源软件包tough-cookie V 2.5.0 - CVE-2023-26136评定为关键漏洞。" |