安全课堂|关于小程序session_key泄露漏洞
安全课堂|关于小程序session_key泄露漏洞 枇杷五星加强版 黑伞安全 2023-08-31 18:10 为进一步提升小程序的安全性和用户体验,目前平台对提审的小程序均需进行安全检测,在检测过程中发现仍有许多小程序存在安全漏洞,其中涉及session_key泄露漏洞,希望通过以下相关的漏洞介绍、案例分析和修复建议,开发者能更加了解如何对该漏洞进行防御。 一、漏洞介绍 为了保证数据安全,微信会
继续阅读月度归档: 2023 年 9 月
两个漏洞的故事 – 分解 CVE-2023-36884 和感染链
两个漏洞的故事 – 分解 CVE-2023-36884 和感染链 安全客 2023-08-31 18:09 2023 年 7 月 11 日,微软发布了一个补丁,修复了多个被主动利用的 RCE 漏洞,并 披露了 由名为 Storm-0978 的威胁参与者发起的网络钓鱼活动,该活动针对欧洲和北美的实体。 该活动使用了一个被跟踪为 CVE-2023-36884 的零日漏洞,这是 Window
继续阅读【漏洞复现】Typora 远程代码执行漏洞(CVE-2023-2317)
【漏洞复现】Typora 远程代码执行漏洞(CVE-2023-2317) 安全客 2023-08-31 18:09 Windows和Linux版本1.6.7之前的Typora中的updater/update.html中存在基于DOM的XSS,该漏洞允许通过加载特制的markdown文件从而使得执行任意JavaScript代码。 如果用户打开恶意markdown文件或者从恶意网页复制文本并将其粘贴到
继续阅读严重的BGP 漏洞可导致长时间断网,一些厂商仍未修复
严重的BGP 漏洞可导致长时间断网,一些厂商仍未修复 Eduard Kovacs 代码卫士 2023-08-31 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周二,一名研究员提醒称,多种重要的边界网关协议 (BGP) 实现受一个严重漏洞影响,可使互联网处于长时间断网状态。然而,一些厂商仍未修复该漏洞。 该漏洞由BGP 解决方案公司 BGP.Tools 公司的所有人
继续阅读Joern In RealWorld (1) – Acutators + CVE-2022-21724
Joern In RealWorld (1) – Acutators + CVE-2022-21724 原创 LoRexxar LR的安全自留地 2023-08-31 17:32 这个系列会记录我用Joern复现真实漏洞的一些过程,同样也是对Joern的深入探索。 这里我选用Java-sec-code的范例代码 做第一部分,这篇文章记录了两个比较经典的漏洞 – Spring
继续阅读Yakit 近期漏洞复盘
Yakit 近期漏洞复盘 Z3r0ne Yak Project 2023-08-31 17:30 本文作者Z3r0ne,预计阅读时间为5分钟 最近师傅们提了几个Yakit安全风险的issues,牛牛在这里给大家做一个总结复盘。 Yso-Java Hack 01 由l3yx师傅提出的Yso-Java Hack功能存在 命令注入 风险。由于Yso-Java Hack功能是由yaklang实现的,后端通
继续阅读VMware Aria Operations for Networks 身份认证绕过漏洞通告
VMware Aria Operations for Networks 身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2023-08-31 16:35 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-377 报告来源:360CERT 报告作者:360CERT 更新日期:2023-08-31 1 漏洞简述 2023年08月31日,360CERT监测发现VMware发布了
继续阅读