Forwarded from MiaoTony's Box (MiaoTony 🐱)
#今天又看了啥 #security #clash #RCE
Windows 上的 clash_for_windows 在 0.20.12 在订阅一个恶意链接时存在远程命令执行漏洞。因为对订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js 代码将会被执行。(比如调用
还有其他利用方式,比如用目录穿越写入开机启动项
https://github.com/Fndroid/clash_for_windows_pkg/issues/3891
Windows 上的 clash_for_windows 在 0.20.12 在订阅一个恶意链接时存在远程命令执行漏洞。因为对订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js 代码将会被执行。(比如调用
child_process 实现 RCE还有其他利用方式,比如用目录穿越写入开机启动项
https://github.com/Fndroid/clash_for_windows_pkg/issues/3891
#生草行为
在 macOS 的 docker 里用基于 terminal 的 browser 跑 windows 95
https://github.com/fathyb/carbonyl
https://archive.org/details/win95_in_dosbox
在 macOS 的 docker 里用基于 terminal 的 browser 跑 windows 95
https://github.com/fathyb/carbonyl
https://archive.org/details/win95_in_dosbox
🤯4
今日打卡早场《流浪地球 2》
上课都没法让我起这么早.jpg
东西是有东西的,有资源了估计我会挑感兴趣的几帧细细看看
作曲是我比较舒服的一点,从《舌尖》开始就很喜欢且佩服阿鲲作曲
挺爽的.gif
上课都没法让我起这么早.jpg
东西是有东西的,有资源了估计我会挑感兴趣的几帧细细看看
作曲是我比较舒服的一点,从《舌尖》开始就很喜欢且佩服阿鲲作曲
挺爽的.gif
Forwarded from 85.60×53.98卡粉订阅/提醒 (矮油我去少年你这是喜脉️️)
#App #CNCERT
中国国家互联网应急中心 CNCERT 发布「“网上购物类”App个人信息收集情况测试报告」
原文地址:https://mp.weixin.qq.com/s/4tL97gBJrOGN-rTl9HBREA
✔️ @DocOfCard
中国国家互联网应急中心 CNCERT 发布「“网上购物类”App个人信息收集情况测试报告」
原文地址:https://mp.weixin.qq.com/s/4tL97gBJrOGN-rTl9HBREA
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Rust 视界
gptcommit : 让 gpt3 辅助编写git commit信息
Rust 实现
https://github.com/zurawiki/gptcommit
博客介绍:https://zura.wiki/post/never-write-a-commit-message-again-with-the-help-of-gpt-3/
Rust 实现
https://github.com/zurawiki/gptcommit
博客介绍:https://zura.wiki/post/never-write-a-commit-message-again-with-the-help-of-gpt-3/
GitHub
GitHub - zurawiki/gptcommit: A git prepare-commit-msg hook for authoring commit messages with LLMs.
A git prepare-commit-msg hook for authoring commit messages with LLMs. - zurawiki/gptcommit
Forwarded from Soha 的日常 (Soha Jin)
根据 APNIC 实验室的测量,在主要经济体中唯一一个 QUIC 支持率的低于 20% 的是中国大陆。
与此同时,中国大陆的运营商们:“这是什么?UDP。干一下。这是什么?UDP。干一下。这是什么?UDP。干一下。这是什么?UDP。干一下。这是什么?UDP。干一下。这是什么?UDP。干一下……”
(不过看起来美国加拿大澳大利亚他们的支持率也不过 40~50%,反倒是不那么大的国家支持率高。可能还是样本的问题,毕竟大国联网人多、老设备老软件多。但这三大运营商干 UDP 的情况还是客观存在的。)
A Second Look at QUIC Use, Geoff Huston, 2022-09-07
与此同时,中国大陆的运营商们:“这是什么?UDP。干一下。这是什么?UDP。干一下。这是什么?UDP。干一下。这是什么?UDP。干一下。这是什么?UDP。干一下。这是什么?UDP。干一下……”
(不过看起来美国加拿大澳大利亚他们的支持率也不过 40~50%,反倒是不那么大的国家支持率高。可能还是样本的问题,毕竟大国联网人多、老设备老软件多。但这三大运营商干 UDP 的情况还是客观存在的。)
A Second Look at QUIC Use, Geoff Huston, 2022-09-07
Forwarded from &'a ::rynco::UntitledChannel (Rynco Maekawa)
X (formerly Twitter)
xxchan (@yayale_umi) on X
还有 |/ 这 operator,震撼
👍1
Forwarded from 今天abc看了啥🤔 (asfr | abc1763613206🤔)
https://github.com/qbittorrent/qBittorrent/issues/18618
据 issue ,知名 BT 下载软件 qBittorrent* 的 4.5.0/4.5.1 版本出现了路径穿越漏洞,可导致攻击者通过已经启用的 WebUI 任意下载宿主上的文件,建议慎重升级。
*此漏洞与反斜杠相关,看上去只影响 Windows 版本。
**把安全漏洞细节直接发在 issue 上并不是什么好主意,所以警惕随之而来的扫描。建议套一层 nginx 以基于启用 basic auth 的密码验证。
据 issue ,知名 BT 下载软件 qBittorrent* 的 4.5.0/4.5.1 版本出现了路径穿越漏洞,可导致攻击者通过已经启用的 WebUI 任意下载宿主上的文件,建议慎重升级。
*此漏洞与反斜杠相关,看上去只影响 Windows 版本。
**把安全漏洞细节直接发在 issue 上并不是什么好主意,所以警惕随之而来的扫描。建议套一层 nginx 以基于启用 basic auth 的密码验证。
GitHub
Web UI - apparent path traversal vulnerability · Issue #18618 · qbittorrent/qBittorrent
qBittorrent & operating system versions qBitTorrent version: 4.5.1 (latest stable as of today). Operating System: Windows 10, version 22H2. x64 architecture. What is the problem? I ran a Nessus...
👍2