每日安全动态推送(25/4/8)

•  OpenWeb-UI导出功能中的客户端路径遍历漏洞

本文揭示了OpenWeb-UI导出功能中的一个严重漏洞，攻击者可以通过构造恶意路径触发未授权的GET或DELETE请求，可能导致信息泄露或服务器端的非预期操作。这是当前网络安全领域的重要发现，对防止类似的客户端路径遍历攻击具有重要意义。

•  利用被困COM对象进行无文件横向移动技术

本文深入探讨了利用COM和DCOM技术实现文件无痕迹横向移动的新型攻击方法。James Forshaw和Jimmy Bayne等人的研究成果揭示了通过操纵Trapped COM对象执行.NET托管代码的创新途径，为特权提升和PPL绕过提供了新思路。

•  atop 堆溢出漏洞分析

本文揭示了atop工具中存在的堆内存损坏漏洞，可能导致权限提升等严重安全问题。文章技术细节扎实，并呼吁社区参与漏洞复现和修复，对当前网络安全防护具有重要警示意义。

•  从零日到零日漏洞研究：揭秘智能秤关联流程的安全漏洞

本文揭示了智能体重秤的安全漏洞，通过反向工程和SQL注入技术，作者成功获取了数十万设备的认证密钥。这一发现不仅展示了硬件和网络安全结合的重要性，还提醒了厂商在设计用户设备关联流程时应更加注重安全性。

•  GUID 编码 Shellcode 的静态分析

本文详细介绍了如何静态解码GUID编码的shellcode，通过解析GUID的编码方式和使用Python脚本，揭示了隐藏在User Agent String中的关键信息，这是理解复杂恶意软件行为的重要一步。

•  浏览器缓存走私与DLL代理结合的新攻击方式

本文揭示了一种新型攻击向量——浏览器缓存走私，该技术结合了浏览器缓存利用和DLL代理，可绕过传统安全防御，对使用Microsoft Teams和OneDrive的组织构成重大威胁。文章详细解释了攻击的全过程，强调了多层次防御的重要性。

* 查看或搜索历史推送内容请访问：* 新浪微博账号： 腾讯玄武实验室* 微信公众号： 腾讯玄武实验室