每日安全动态推送(4-22)

Tencent Security Xuanwu Lab Daily News

• How Did I Easily Find Stored XSS at Apple and earn $5000 ?:

   ・ 文章揭示了在苹果服务中发现的存储型跨站脚本（XSS）漏洞，包含了利用漏洞的示例和攻击载荷。  – 

• The Windows Registry Adventure #1: Introduction and research results:

   ・ 介绍了Google Project Zero成员对Windows注册表进行安全漏洞审计的过程和结果，发现了多个问题并进行了详细的分析。审计结果表明Windows注册表存在潜在的本地提权漏洞 – 

• PAN-OS CVE-2024-3400: Patch Your Palo Alto Firewalls:

   ・ 介绍了PAN-OS CVE-2024-3400漏洞，以及针对该漏洞的补丁和缓解措施。 – 

• How I Discovered an RCE Vulnerability in Tesla, Securing a $10,000 Bounty:

   ・ 讲述了作者在Tesla发现并报告了一个CVE-2023–46747的远程代码执行漏洞，文章详细介绍了漏洞的发现过程、利用方法和时间线 – 

• How I Prevented a Mass Data Breach - $15,000 bounty - @bxmbn:

   ・ 披露了一个新的漏洞，通过使用Google Dorking和Wayback Machine发现并分析了漏洞的根本原因，以及对其进行利用的方法。漏洞可能导致敏感信息泄露，涉及300万人的个人信息。 – 

• pgAdmin 8.3 Remote Code Execution:

   ・ pgAdmin版本8.3及以下存在路径遍历漏洞，可以被利用来执行恶意代码。该漏洞的利用方法已被公开披露 – 

• How Antithesis finds bugs (with help from the Super Mario Bros.):

   ・ 介绍了Antithesis平台如何利用超级马里奥兄弟游戏来进行高效的状态空间探索，以快速发现漏洞 – 

• WINELOADER: A Tool for Espionage and Disruption:

   ・ 介绍了由臭名昭著的 APT29 黑客组织发起的新攻击活动，揭露了他们使用名为 'WINELOADER' 的后门恶意软件进行间谍活动和破坏。文章详细分析了这一先进威胁的攻击方式和 'WINELOADER' 后门恶意软件的高级能力 – 

• oss-security - Make your own backdoor: CFLAGS code injection, Makefile injection, pkg-config:

   ・ 讨论了如何在Linux内核中创建后门，详细分析了后门的创建过程和功能 – 

* 查看或搜索历史推送内容请访问：

* 新浪微博账号：腾讯玄武实验室