每日安全动态推送(3-28)

渗透技巧 1年前 (2023) admin
341 0 0
Tencent Security Xuanwu Lab Daily News

• [Tools] Getting started with the Red Team Guides:
https://redteamguides.com

   ・ RedTeamGuides 是一个提供红队教程和指导以及备忘单的平台。该平台提供了广泛的资源,包括分步教程、操作指南和备忘单,涵盖与红队和渗透测试技术相关的不同主题,例如侦察、开发、后期开发和特权升级  – SecTodayBot


• Microsoft Teams, Virtualbox, Tesla Zero-Days Exploited –  Pwn2Own Day Two:
https://cybersecuritynews.com/pwn2own-vancouver-2023/

   ・ Pwn2Own Vancouver 2023 – 对Tesla Model 3 上的信息娱乐系统进行漏洞利用;使用堆溢出和 OOB 写入来提升权限  – SecTodayBot


• ChatGPT Prompts for Bug Bounty ?:
https://github.com/TakSec/chatgpt-prompts-bug-bounty

   ・ 用于 Web 应用程序安全、漏洞赏金和渗透测试的 ChatGPT 提示列表。更快的搜寻和报告 作为漏洞赏金猎人集思广益,以节省侦察时间、找到好的程序、学习技术技能、撰写报告并优化以获得最大回报  – SecTodayBot


• 重磅!Twitter 源代码泄露 – FreeBuf网络安全行业门户:
https://www.freebuf.com/news/361710.html

   ・ 泄漏后Twitter迅速向在线协作平台GitHub发送侵犯版权通知,要求其删除泄露的代码。GitHub删除了泄漏的代码。本次泄漏的来源不排除是前雇员  – SecTodayBot


• [Tools] www.bleepingcomputer.com:
https://www.bleepingcomputer.com/news/security/inaudible-ultrasound-attack-can-stealthily-control-your-phone-smart-speaker/

   ・ Near-Ultrasound Inaudible Trojan可以对智能手机、智能扬声器和其他物联网(包括苹果的 Siri、谷歌的助手、微软的 Cortana 和亚马逊的 Alex)等由语音助手驱动的设备发起无声攻击 – SecTodayBot


• [Tools] We updated our RSA SSH host key | The GitHub Blog:
https://github.blog/2023-03-23-we-updated-our-rsa-ssh-host-key/

   ・ GitHub.com 的 RSA SSH 私钥曾短暂暴露在公共 GitHub 存储库中。我们没有理由相信暴露的密钥被滥用,并且出于谨慎考虑采取了这一行动。我们更新了 RSASSH 主机 key – SecTodayBot


• Malicious ChatGPT Chrome Extension Steal Facebook Accounts:
https://gbhackers.com/malicious-chatgpt-chrome-extension/

   ・ 由于Google Chrome 上的ChatGPT 扩展程序的木马化版本,数以千计的 Facebook 帐户被盗。恶意版本有额外的代码来从 Facebook 窃取 Facebook 会话 cookie。此扩展程序由发布者于 2023 年 2 月 14 日发布,可供 Chrome 网上应用店用户使用 – SecTodayBot


• Fujisaki:
https://github.com/ljsabc/Fujisaki

   ・ 基于ChatGLM+LoRa的项目,目前致力于中文内容的生成,用于提示工程和内容生成。灵感来自 Fujisaki Chihiro(即 Alter Ego) – SecTodayBot


• Hacking AI: System and Cloud Takeover via MLflow Exploit:
https://protectai.com/blog/hacking-ai-system-takeover-exploit-in-mlflow

   ・ CVE-2023-1177:MLflow 中的 LFI/RFI:本地文件包含/远程文件注入组合漏洞可导致整个系统或云提供商被远程未经身份验证的攻击接管  – SecTodayBot


* 查看或搜索历史推送内容请访问:
https://sec.today

* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab


原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(3-28)

版权声明:admin 发表于 2023年3月28日 上午10:02。
转载请注明:每日安全动态推送(3-28) | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...