•  驾驭SCA山羊：深入探索软件组成分析中的漏洞与学习路径
GitHub - harekrishnarai/Damn-vulnerable-sca: Damn Vulnerable SCA Application

本文介绍了一款名为SCAGoat的应用，它专注于软件组成分析（SCA），特别针对开发代码中使用的易受攻击和被篡改的JAR依赖。该应用覆盖了高危CVE，并包含一个未记录但恶意的包，为用户提供了实战学习机会以理解潜在的安全威胁。

•  RCS消息服务：便捷与安全的双刃剑
Protect your phone from hackers & RCS text messaging explained – NBC 5 Dallas-Fort Worth

本文深入探讨了RCS（富通信服务）在iPhone与Android用户间的信息交流中的应用，以及其对网络安全带来的挑战。文章亮点在于揭示了RCS的非端到端加密特性及其潜在风险，并提供了FBI建议使用如WhatsApp等加密应用程序的重要信息。

•  谷歌Chrome浏览器发布关键安全更新，修复三个高危漏洞
Chrome Security Update, Patch for 3 High-severity Vulnerabilities

谷歌针对Chrome浏览器发布了关键安全更新，修复了三个可能使用户面临重大风险的高严重性漏洞。此次更新尤其重要的是修补了一个V8引擎中的类型混淆问题和翻译功能中可能导致内存损坏的问题。

•  MySQL高交互蜜罐速成
Constructing an Efficient MySQL Honeypot System with Go Language

本文深入探讨了一种基于Go语言构建的MySQL蜜罐技术，通过详细的代码示例展示了如何监听特定端口（如3306）上的TCP通信，并模仿真实的MySQL服务与潜在攻击者进行互动。文章的最大亮点在于其对Navicat Premium等现代客户端软件的新版反制策略进行了细致解析及有效应对。

•  当输入界限模糊：AI大模型中的间接提示注入攻击漏洞
When User Input Lines Are Blurred: Indirect Prompt Injection Attack Vulnerabilities in AI LLMs

本文深入探讨了AI大型语言模型（LLM）中的间接提示注入攻击漏洞，这是一种新颖且具有高度技术性的网络安全威胁。作者巧妙地将传统的软件安全概念与现代的AI系统相结合，揭示了一个被忽视的安全领域——即外部数据源如何成为恶意行为者利用的目标以影响LLM的行为和输出。

•  Cleo文件传输软件零日漏洞大规模利用
Massive Exploitation of Cleo Software Zero-Day Flaw

近日,CVE-2024-50623这一零日漏洞在Cleo公司的文件传输解决方案(包括Harmony、VLTrader和LexiCom)中被广泛利用。该漏洞源自无限制的文件上传特性,使未经身份验证的攻击者能够远程执行代码。虽然Cleo已尝试通过补丁解决问题,但专家表示补救不彻底。自2024年12月以来,已有超过十个不同行业的企业受到攻击。

•  GitHub - ttstormxx/jjjjjjjjjjjjjs: 爬网站JS文件，自动fuzz api接口，指定api接口
Automated API Scanning and Security Detection Tool for Webpack Sites

本文介绍了一款基于Python的强大工具，能够智能地从Webpack站点中提取并解析JavaScript文件以发现API接口，并通过模糊测试与指纹识别技术自动探测潜在的安全漏洞，如未经授权访问或数据泄漏问题。该工具体现了前端安全检测的新高度。

* 查看或搜索历史推送内容请访问：
https://sectoday.tencent.com/
* 新浪微博账号： 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号： 腾讯玄武实验室