CVE 项目资金危机暂解：网络安全核心服务获 11 个月喘息 - IT之家
https://www.ithome.com/0/845/839.htm

https://www.kandji.io/blog/pasivrobber

TLDR：恁美国OSINT又对着China哈气了，路边拾了个美亚的取证工具一通分析然后怪他主机信息收集太多

Meiya：什么叫我竟然收集信息了，我不收集信息我干嘛

：你们美国OSINT就不能至少要求一下，做中国威胁情报一定要懂汉语
：错了 做中国情报一定要不懂汉语（
不然就不好意思喊了

抖音公开了他们的算法细节

甚至聊到了APP会“窃听”用户谈话吗？
它的副标题是：平台“窃听”在技术上不“划算”，在法律上不被允许。

然而大家都记得，拼多多。。。

雷声大雨点小，毕竟大部分人用的都是openssh

不过影响还是比一般的漏洞要大的

https://news.1rj.ru/str/DNSPODT/9207

Python's new t-strings (Score: 154+ in 5 hours)

Link: https://readhacker.news/s/6t8rs
Comments: https://readhacker.news/c/6t8rs

python3.14新功能t-string, 表示一个模板

python3.13之前：

name = "World"
print("Hello {name}!".format(name)) # "Hello {name}!"是一个字符串

python3.14:

name = "World"
print(t"Hello {name}!") #一个Template对象，需要用其他函数转成字符串

可以用来替代模板渲染引擎，SSTI再也不会导致RCE了（悲）

evil = "<noscript>alert('bad')</noscript>"
template = t"<p>{evil}</p>"
safe = html(template)
assert safe == "<p>&lt;noscript&gt;alert('bad')&lt;/noscript&gt;</p>"

黑客利用Google OAuth漏洞伪造DKIM认证邮件实施钓鱼攻击

黑客通过Google OAuth应用漏洞，伪造了看似来自"no-reply@google.com"的钓鱼邮件，该邮件不仅通过了DKIM（DomainKeys Identified Mail）认证，还被系统归类为真实安全警报。攻击者利用Google Workspace自动发送的安全通知机制，将恶意链接植入由Google官方DKIM密钥签名的邮件中，诱骗用户访问托管在Google自有域名（sites.google.com）上的虚假支持页面以窃取凭证。以太坊域名服务（ENS）首席开发者Nick Johnson识破该骗局后提交漏洞报告，Google最初称此为"正常流程"，后承认风险并着手修复。此前，PayPal平台也出现过同类攻击手法，欺诈者利用"礼品地址"功能批量转发钓鱼邮件。

来源：BleepingComputer

今日XSS小技巧之魅力javanoscript语法

''.replace.call`1${/.../}${alert}`

来源，所以这东西到底是怎么生效的，待我研究一下（

这个东西是JS的标签模板语法，本来是用来标记一个模板的

f`aaa${arg}bbb`就相当于f(["aaa","bbb"], arg)

所以''.replace.call`1${/.../}${alert}`就相当于''.replace.call(["1","",""], /.../, alert) ，也就是把第一个参数转成字符串"1,,"，用正则/.../匹配这个字符串，然后传给alert

所以说DNS配置不正确就可以伪造这个域名的邮件...

DNS中MX记录标记这个域名可以发送邮件，SPF记录标记哪些服务器可以用这个域名发送邮件

所以如果一个域名（比如说aaa.com）没有配置SPF，那任意服务器都可以用admin@aaa.com之类的邮箱给别人发邮件...

最后伪造邮件可以用emkei.cz这个网站

https://mp.weixin.qq.com/s/UFUBRg3BL1EMy0urkb6xxA

Linux内核"io_uring"接口存在安全盲区 可致隐蔽rootkit攻击

ARMO安全研究人员发现Linux内核的异步I/O接口"io_uring"存在重大安全漏洞，该漏洞使rootkit能绕过企业级安全软件的检测实施攻击。研究人员开发的PoC工具"Curing"证实，攻击者可利用该接口61种操作类型（包括文件读写、网络连接创建、进程生成等）实施任意操作，而Falco等主流运行时安全工具均无法在默认配置下检测此类活动。谷歌已因此在Android和ChromeOS中默认禁用该功能，研究人员建议采用内核运行时安全检测（KRSI）机制进行防御。

来源：BleepingComputer

通过io_uring调用rootkit实现免杀，毕竟io_uring就是共享内存（

#security

群晖的 Replication Service 存在漏洞（已被修复），允许攻击者直接获取设备root权限。
攻击流程：
1. 此服务不正确地检查命令缓冲长度，攻击者可以在任意位置写入0。
2. 因为此进程以fork方式执行，内存布局和父进程一致并且崩溃之后不会影响整体服务，攻击者可以借此无限尝试绕过ASLR保护得到ASLR后的地址信息并拿到libc基址。
3. 劫持控制流完成最终的攻击。由于此进程是root执行，攻击者可以直接获取root权限。

编者没有任何二进制pwn知识，还望大家指正。

CVE-2024-10442
https://mp.weixin.qq.com/s/3_jq6_-UsmTU_8pyZF84_g

二进制✌️

关于近期Telegram的内容审查

目前已知的消息：
1. 图片、视频、文本都会被检测
2. 公开/有用户名的频道/群组内容会被 AI 扫描来自动检测违规内容从而导致爆破
3. 私有频道/群组/私聊的内容会被使用哈希自动匹配已知的违规内容从而导致爆破，但不会使用 AI 检测以前未见过的内容
4. 哈希数据库是全局的，只要任一公开频道的内容被检测违规，即使自己是私有频道也可能被哈希匹配从而连坐
5. 违规申诉的成功率不到 10%
6. 外部链接相对安全，任何形式的URL均不会被屏蔽

建议：
1. 使用私有频道
2. 发布图文内容时使用小差异规避哈希匹配
3. 敏感内容可以考虑以外链形式发布

https://tginfo.me/esafety-analysis-en/
https://www.esafety.gov.au/sites/default/files/2025-03/BOSE-responses-to-mandatory-notices-tvec-March2025.pdf

转发自 eleven严选