2023年 第45周 微信公众号精选安全技术文章总览
洞见网安 2023-11-6
0x1 侧信道分析测评套件更新-全面支持Sakura采波分析
数缘信安社区 2023-11-11T07:00:56 © 于鹏绅
北京数缘科技有限公司更新了侧信道分析测评套件,以支持Sakura-G和Sakura-X等FPGA开发板的侧信道分析。更新包括硬件连接、设备通信、信号采集及侧信道分析四部分。硬件连接方面,Sakura系列开发板支持侧信道分析实验,用户可通过特定测试点采集信号;设备通信方面,新版本的Detector软件集成了FT2232H芯片的驱动,实现了与Sakura系列产品的通信;信号采集上,为了提高信号质量,Detector新增了示波器交流模式选项,可以去除直流分量干扰;侧信道分析方面,平台增加了针对轮输入输出汉明距离泄露模型的分析工具,适用于硬件实现的加密算法攻击。此外,数缘科技已为多家密码厂商提供了物理安全性测试等服务,并参与了国家级检测中心的非入侵式攻击检测平台项目,致力于提升我国密码产品的安全性。
0x2 【漏洞情报】用友 GRP-U8 内控管理软件跨站脚本漏洞
飓风网络安全 2023-11-10T19:09:35 cexlife
本文报道了用友GRP-U8内控管理软件中的一个跨站脚本漏洞。该漏洞存在于IM/edtUser.jsp页面,未经身份验证的远程攻击者可以通过该页面利用XSS漏洞,通过绕过逻辑检查来添加任意用户。该漏洞影响的软件是用友GRP-U8,具体影响版本为用友GRP-U8R10。由于即时通讯功能已停止,厂商用友网络科技股份有限公司建议用户将webapps下IM文件夹备份并删除,以缓解此漏洞带来的风险。目前尚无其他官方的修复方案提供。
跨站脚本漏洞 XSS攻击 漏洞利用 身份验证绕过 软件漏洞 用友软件 版本影响 漏洞修复
0x3 【漏洞情报】通达OA 2017 delete.php SQL注入
飓风网络安全 2023-11-10T19:09:35 cexlife
在通达OA 2017版本中,发现了一个严重的SQL注入漏洞,该漏洞存在于文件general/system/censor_words/manage/delete.php的DELETE_STR操作中。该漏洞可能导致未经授权的数据访问和潜在的数据泄露。该漏洞已被公开披露,并可能被恶意利用。受影响的版本包括OA 2017的11.0至11.9版本。尽管漏洞已经向供应商披露,但未得到回应。为了解决该漏洞,建议用户升级到最新的11.10版本。目前,官方尚未提供除升级之外的其他修复方法。
0x4 技巧 | 函数定义好,代码写得少。
大伯为安全 2023-11-10T17:00:09 © d0ublewei
本文详细介绍了PHP中的函数使用技巧。文章首先概述了PHP强大的函数库,强调了函数在避免代码冗余和提高代码复用性中的作用。接着,详细讲解了自定义函数的语法、命名规则、参数传递、返回值以及函数的调用和描述。文章还提到了如何通过文件包含函数来提高代码的重用性和维护便利性,区分了include和require的不同用法。最后,文章举例说明了时间函数的使用,包括设置时区、获取时间戳和格式化日期等。此外,文章还附带了一些PHP相关的学习资源和信息安全技术的学习建议。
0x5 【漏洞复现】Gerapy爬虫管理系统弱口令
Devil安全 2023-11-09T09:00:20 仲瑿
声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁
0x6 【漏洞复现】HFOffice医微云SQL注入漏洞
Devil安全 2023-11-08T09:01:26 仲瑿
声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁
0x7 钓鱼电子邮件使用二维码发起攻击的可能性
天津恒御科技有限公司 2023-11-08T08:00:39
二维码无处不在,你可以在海报和传单、ATM屏幕、价签和商品甚至建筑物上看到它们,人们用它们来分享信息,推广各
0x8 一文了解“中间人攻击(MITM)”(附防范建议)
恒御科技 2023-11-06T08:00:33
你可能听说过“中间人攻击(MiTM)”这个词,甚至可能对它还存在一个模糊的概念。但是,你仍旧会想“到底什么才
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
