Tencent Security Xuanwu Lab Daily News
• [PDF] https://www.usenix.org/system/files/sec23summer_249-peng-prepub.pdf:
https://www.usenix.org/system/files/sec23summer_249-peng-prepub.pdf
・ 利用运行时报错信息指导WebGL api参数变异进行Fuzz,在主流浏览器中发现多个WebGL相关bug。
– P4nda
• How to become the #1 Auditor in Web3:
https://www.youtube.com/watch?v=VRK2rLFPU0o
・ Code4rena上top1 reseacher的演讲,介绍他如何在合约众测平台Code4rena成为第一人。
– Atum
• [Windows] Analyzing CVE-2022-46630 (DLL Hijacking in Squirrel.Windows):
https://archcloudlabs.com/projects/cve-2022-46330/
・ Squirrel.Windows存在DLL劫持漏洞。
– Atum
• Debug with GDB on macOS 11:
https://gist.github.com/mike-myers-tob/9a6013124bad7ff074d3297db2c98247
・ 一个在macOS 11安装并使用GDB的教程。不支持M1 Mac。
– Atum
• 一种 Foxit Reader 漏洞利用思路探索:
https://paper.seebug.org/2039/
・ 介绍 Foxit Reader 自己实现的内存管理细节
– WireFish
• Real World CTF 2023: Happy-Card Writeup:
https://kitctf.de/writeups/rwctf2023-happycard
・ Sauercloud团队公开RWCTF2023-Happy-Card题解,利用类型混淆漏洞实现OOB Read获取flag
– xmzyshypnc
• GLM 130B – a Hugging Face Space by THUDM:
https://huggingface.co/spaces/THUDM/GLM-130B
・ 清华大学发布的130B规模的大模型,并声称其性能在davinci 和 text-davinci-001之间。
– Atum
• [Tools] GitHub – Tsuyoken/ImgBackdoor: Hide your payload into .jpg file:
https://github.com/Tsuyoken/ImgBackdoor
・ 一个生成伪装成图片的钓鱼马的工具
– Atum
• [Malware, Tools] 警惕:魔改后的CIA攻击套件Hive进入黑灰产领域:
https://blog.netlab.360.com/warning-hive-variant-xdr33-is-coming_cn/
・ 警惕:魔改后的CIA攻击套件Hive进入黑灰产领域
– crazyman
• wupco/rwctf2023-ASTLIBRA:
https://github.com/wupco/rwctf2023-ASTLIBRA
・ rwctf2023-ASTLIBRA的预期解
– crazyman
• [Tools] zkSNARKs vs zkSTARKs: a primer:
https://pseudotheos.mirror.xyz/_LAi4cCFz2gaC-3WgNmri1eTvckA32L7v31A8saJvqg
・ 从原理、性能等角度对zkSNARKs、zkSTARKs这两种零知识证明的实现进行对比
– keenan
• Risk Explorer for Software Supply Chains:
http://riskexplorer.endorlabs.com/
・ 软件供应链安全的ATTCK
– Atum
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(1-10)