Forwarded from GDP_信息安全(纪念版)
nday消息同步
1海康威视综合安防前台文件上传漏洞
这个洞厂商修复有些问题,还是可以通过...跳转到根目录,换个接口而已
2.蓝凌OA前台代码执行漏洞
蓝凌V131415就不说了,去年代码执行、金格接口打得很凶,今年蓝凌有了大更新之后还是存在很多RCE问题
3.致远M3Server-xxxx反序列化漏洞
懂得都懂
4.致远A8V8SP1SP2文件上传漏洞(1dav)
1day,今年年初修复了很多,ajaxdo接口ajaxAction涉及的文件操作方法还是很多的
5.普元EOS
前台代码执行漏洞,这系统代码执行也太多了不赘述,建议重开6泛微F-coloav后合文件上传漏洞(0dav
从数据库读xxx,然后写到根目录,除了一些流
传的1day之外泛微可以说基本已安全,RASP能
绕也不想耗费精力继续看了,这个洞是针对去年
的前台洞绕过。
7泛微E-Mobile任意用户登录(1day)
Emobile很难做后续利用,不过如果存在信息泄露风险的可以关注下8泛微E-Office10信息泄露后台+后台文件上传漏洞(Oday)很牛的组合漏洞,office9洞太多用的少没必要写了
9契约锁电子签章系统RCE(1day)
上海某行动期间已修复,更新补丁很快,这家签章平台响应速度还是很快的,和泛微ECO经常同框打包卖
10.亿赛通电子文档平台文件上传漏洞市面上的上传1day其实去年补丁都打完了,今年有新的,可以注意下
11.ldocview命令执行漏洞
去年项目挖的,今年还在12jeesite代码执行漏洞Oday,丁真来了都得说真13LiveBOS文件上传漏洞
金融单位供应链,不需要前几年的跳目录了,新
版本灵动框架的上传绕过绕的很emmm
14.用友nc-cloud-任意文件写入(Oday
NCCLOUD今年用过大部分都没修
15.一哥VPN
预计今年二进制漏洞打得也会很凶,端口PWN!
16.xxIOA PWN
零信任不一定真的安全
17.xxx准入PWN
弱口令记得也要修一修
18.深信服应用交付系统命令执行
19.协同办公文档(DzzOfffice)未授权访问
20.电子签章平台代码执行漏洞
21泛微oa进后台漏洞
22.ucloud的未授权获取任意用户cookie
23.飞书客户端RCE漏洞
24.泛微EofficeV10前台RCE
25.来客推商城任意文件上传
26天明堡垒机Oday
27明御运维审计与风险控制系统堡垒机任意用户注册28协同管理系统存在SQL注入29泛微emobile注入漏洞
30.拓尔思WCM任意命令执行漏洞
31.用友财务云任意文件上传漏洞
1海康威视综合安防前台文件上传漏洞
这个洞厂商修复有些问题,还是可以通过...跳转到根目录,换个接口而已
2.蓝凌OA前台代码执行漏洞
蓝凌V131415就不说了,去年代码执行、金格接口打得很凶,今年蓝凌有了大更新之后还是存在很多RCE问题
3.致远M3Server-xxxx反序列化漏洞
懂得都懂
4.致远A8V8SP1SP2文件上传漏洞(1dav)
1day,今年年初修复了很多,ajaxdo接口ajaxAction涉及的文件操作方法还是很多的
5.普元EOS
前台代码执行漏洞,这系统代码执行也太多了不赘述,建议重开6泛微F-coloav后合文件上传漏洞(0dav
从数据库读xxx,然后写到根目录,除了一些流
传的1day之外泛微可以说基本已安全,RASP能
绕也不想耗费精力继续看了,这个洞是针对去年
的前台洞绕过。
7泛微E-Mobile任意用户登录(1day)
Emobile很难做后续利用,不过如果存在信息泄露风险的可以关注下8泛微E-Office10信息泄露后台+后台文件上传漏洞(Oday)很牛的组合漏洞,office9洞太多用的少没必要写了
9契约锁电子签章系统RCE(1day)
上海某行动期间已修复,更新补丁很快,这家签章平台响应速度还是很快的,和泛微ECO经常同框打包卖
10.亿赛通电子文档平台文件上传漏洞市面上的上传1day其实去年补丁都打完了,今年有新的,可以注意下
11.ldocview命令执行漏洞
去年项目挖的,今年还在12jeesite代码执行漏洞Oday,丁真来了都得说真13LiveBOS文件上传漏洞
金融单位供应链,不需要前几年的跳目录了,新
版本灵动框架的上传绕过绕的很emmm
14.用友nc-cloud-任意文件写入(Oday
NCCLOUD今年用过大部分都没修
15.一哥VPN
预计今年二进制漏洞打得也会很凶,端口PWN!
16.xxIOA PWN
零信任不一定真的安全
17.xxx准入PWN
弱口令记得也要修一修
18.深信服应用交付系统命令执行
19.协同办公文档(DzzOfffice)未授权访问
20.电子签章平台代码执行漏洞
21泛微oa进后台漏洞
22.ucloud的未授权获取任意用户cookie
23.飞书客户端RCE漏洞
24.泛微EofficeV10前台RCE
25.来客推商城任意文件上传
26天明堡垒机Oday
27明御运维审计与风险控制系统堡垒机任意用户注册28协同管理系统存在SQL注入29泛微emobile注入漏洞
30.拓尔思WCM任意命令执行漏洞
31.用友财务云任意文件上传漏洞
Forwarded from 踹哈公寓
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from 踹哈公寓
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from 科技圈🎗在花频道📮 (在花⭐️投稿📮Bot)
Forwarded from 每日消费电子观察 (horo)
Forwarded from 蓝点网订阅频道
#软件资讯 缩短 n 天利用:谷歌宣布自 Chrome 116 开始,每周都会发布一次稳定版更新。
详情:https://ourl.co/99792
这里的稳定版更新指的是子版本,也就是错误修复版本,其中大版本更新依然是每月 1 次。
改成这种更迭节奏的好处是可以提升漏洞修复速度,降低已知漏洞的可能性。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
详情:https://ourl.co/99792
这里的稳定版更新指的是子版本,也就是错误修复版本,其中大版本更新依然是每月 1 次。
改成这种更迭节奏的好处是可以提升漏洞修复速度,降低已知漏洞的可能性。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
Forwarded from 不靠谱的喵(>^ω^<) #CatGPT (Yuze Wu 🐱 | 女子大学生 | 喵!)
不扯犊子了(
其实谷歌套件能在国行手机内置,就已经是通过审核的了,不用担心不能在设备中预装,GMS 在国内提供互联网服务的几个域名都是通过 ICP 备案的
2023-03-06 / 沪ICP备13018775号-20 / 谷歌广告(上海)有限公司 / googleapis.cn
2020-11-26 / 京ICP备13004732号-2 / 北京谷翔信息技术有限公司 / google.cn
2020-11-26 / 京ICP备13004732号-2 / 北京谷翔信息技术有限公司 / g.cn
其实谷歌套件能在国行手机内置,就已经是通过审核的了,不用担心不能在设备中预装,GMS 在国内提供互联网服务的几个域名都是通过 ICP 备案的
2023-03-06 / 沪ICP备13018775号-20 / 谷歌广告(上海)有限公司 / googleapis.cn
2020-11-26 / 京ICP备13004732号-2 / 北京谷翔信息技术有限公司 / google.cn
2020-11-26 / 京ICP备13004732号-2 / 北京谷翔信息技术有限公司 / g.cn
Forwarded from KubeDown | Channel
我刚上了10个SVIP怎么瞬间就死了,我怀疑有人在故意解析一堆文件,把我的账号下死了
Forwarded from LoopDNS资讯播报
重要: 搜狗输入法疑似存在重大隐私风险问题,输入法存在将用户输入记录被上传至腾讯公司服务器行为
影响等级: [重要/需要关注的]
内容: 根据多伦多大学公民实验室的研究人员披露来自于中国公司的搜狗输入法存在一个加密漏洞,研究人员尝试在三个操作系统平台上分析了搜狗输入法,发现该漏洞可以让系统使敏感数据可以被网络窃听者破译。同时在使用 Wireshark 和 mitmproxy 进行网络流量捕获和分析中发现搜狗输入法存在上传用户输入信息的问题[包括手写输入]
原理: 搜狗输入法各个版本都使用内部称为 “EncryptWall” 的加密系统对敏感数据进行加密。 我们发现Windows和Android版本的搜狗输入法在该加密系统中存在漏洞其中包括 CBC padding oracle攻击 漏洞,该漏洞允许网络窃听者恢复加密网络传输的明文,从而泄露包括用户输入内容在内的敏感信息,本次披露依靠该漏洞实现流量解密证明了腾讯公司旗下产品存在隐私问题
后续发展: 研究人员在向腾讯公司披露该漏洞后电子邮件域遭到中国长城防火墙DNS污染屏蔽,同时腾讯在和研究人员的交流过程中宣称漏洞得到了缓解但只是修改服务器以在出现错误时无条件返回状态代码 400
注意:
该漏洞导致搜狗输入法加密流量可以被第三方劫持和获取,但也侧面证明了搜狗输入法存在非常严重的隐私问题
处置建议: 更换输入法,如果存在相同隐私担忧建议使用谷歌键盘
消息来源:推特/多伦多大学公民实验室
影响等级: [重要/需要关注的]
内容: 根据多伦多大学公民实验室的研究人员披露来自于中国公司的搜狗输入法存在一个加密漏洞,研究人员尝试在三个操作系统平台上分析了搜狗输入法,发现该漏洞可以让系统使敏感数据可以被网络窃听者破译。同时在使用 Wireshark 和 mitmproxy 进行网络流量捕获和分析中发现搜狗输入法存在上传用户输入信息的问题[包括手写输入]
原理: 搜狗输入法各个版本都使用内部称为 “EncryptWall” 的加密系统对敏感数据进行加密。 我们发现Windows和Android版本的搜狗输入法在该加密系统中存在漏洞其中包括 CBC padding oracle攻击 漏洞,该漏洞允许网络窃听者恢复加密网络传输的明文,从而泄露包括用户输入内容在内的敏感信息,本次披露依靠该漏洞实现流量解密证明了腾讯公司旗下产品存在隐私问题
后续发展: 研究人员在向腾讯公司披露该漏洞后电子邮件域遭到中国长城防火墙DNS污染屏蔽,同时腾讯在和研究人员的交流过程中宣称漏洞得到了缓解但只是修改服务器以在出现错误时无条件返回状态代码 400
注意:
该漏洞导致搜狗输入法加密流量可以被第三方劫持和获取,但也侧面证明了搜狗输入法存在非常严重的隐私问题
处置建议: 更换输入法,如果存在相同隐私担忧建议使用谷歌键盘
消息来源:推特/多伦多大学公民实验室
Forwarded from 科技圈🎗在花频道📮 (Alfonso Sandalphon)
建立自己的《西部世界》:斯坦福"AI小镇"现已开源
这个AI小镇有25个智能体居民,每个智能体有着由自然语言描述的身份,它们保存着完整的记忆流,并会将之合成更高层次的推论然后转化为行动。
https://github.com/joonspk-research/generative_agents
投稿:@ZaiHuaBot
频道:@TestFlightCN
这个AI小镇有25个智能体居民,每个智能体有着由自然语言描述的身份,它们保存着完整的记忆流,并会将之合成更高层次的推论然后转化为行动。
https://github.com/joonspk-research/generative_agents
投稿:@ZaiHuaBot
频道:@TestFlightCN
Forwarded from 每日消费电子观察 (无羽の翼 (「 • ̀ω•́ )「)
Chromium 社区正在讨论要不要重新支持 JPEG XL
https://www.landiannews.com/archives/99835.html
https://www.landiannews.com/archives/99835.html
蓝点网
果然被苹果打脸!Chromium社区正在讨论要不要重新支持JPEG XL – 蓝点网
JPEG XL 是一种免专利费的图像格式 (后缀为 .jxl),其中 X 代表 JPEG 项目组发布更新的顺序 […]
Forwarded from Hacker News
Russia Starts Blocking VPN Protocols (Score: 150+ in 10 hours)
Link: https://readhacker.news/s/5M7ZA
Comments: https://readhacker.news/c/5M7ZA
Link: https://readhacker.news/s/5M7ZA
Comments: https://readhacker.news/c/5M7ZA
VPNCentral
Russia Starts Blocking VPN Protocols
Mobile users in Russia report having trouble using VPN apps due to the country's restrictions on OpenVPN and WireGuard.
Forwarded from Project X Channel
感谢群友 b c 的测试,我们简单研究了河南新上的 SNI 黑名单,发现启用 TCP Timestamps 选项即可避免它的 RST 攻击式阻断,但若传播太广就
https://github.com/XTLS/Xray-core/issues/2426#issuecomment-1672957790
https://github.com/XTLS/Xray-core/issues/2426#issuecomment-1672957790
GitHub
河南新上的SNI/HOST黑名单墙 · Issue #2426 · XTLS/Xray-core
新开个issue,防止在别人的帖子回复时,打扰到别人.......
Forwarded from IT之家 - 数码, 科技, 生活 - 软媒旗下
Forwarded from 希特乐乐
所谓的“app备案”实际就是ICP备案,与域名那个备案同属一个东西。解读了下政策,只有使用国内服务器的app受此影响,选一个域名进行app补充即可。
其限制预装、分发,但不限于安装。如果有人去举报未备案的app,顶多就跟开机场(VPN)被通报那样,是国内运营商进行处置。你放在海外,它手够得到吗?
下载海外app无非就是来自 Play Store、未知来源,以及iOS用户的外区id(若国区没有),这只是应用分发渠道的区别罢了。请不要魔怔,这玩意是运营商/机房管的,属于管局通报与你安装什么b应用没半毛钱关系。
目前本人双持android与ios设备,iOS对付国产毒瘤,android使用海外应用。至于 Telegram 禁止安装,那是死妈金凡干的好事没必要炒作。嫌麻烦请使用 Play Store 获取即可。
最后跟各位开发者讲一下,使不使用国内服务器取决于业务域名有没有备案,上不上架国内应用市场取决于你要不要app备案,两者没有任何关联。
其限制预装、分发,但不限于安装。如果有人去举报未备案的app,顶多就跟开机场(VPN)被通报那样,是国内运营商进行处置。你放在海外,它手够得到吗?
下载海外app无非就是来自 Play Store、未知来源,以及iOS用户的外区id(若国区没有),这只是应用分发渠道的区别罢了。请不要魔怔,这玩意是运营商/机房管的,属于管局通报与你安装什么b应用没半毛钱关系。
目前本人双持android与ios设备,iOS对付国产毒瘤,android使用海外应用。至于 Telegram 禁止安装,那是死妈金凡干的好事没必要炒作。嫌麻烦请使用 Play Store 获取即可。
最后跟各位开发者讲一下,使不使用国内服务器取决于业务域名有没有备案,上不上架国内应用市场取决于你要不要app备案,两者没有任何关联。