【知识】5月12日每日安全知识热点

作者：嘿嘿可爱无罪 | 来源：互联网 | 2023-09-18 12:12

热点概要：惠普电脑的音频驱动中发现内置的keylogger、OnePlus OTA相关的漏洞分析与利用、基于DOM的AngularJS沙箱逃逸、Vanilla Forums 2.3以下版本无需认证的

热点概要：惠普电脑的音频驱动中发现内置的keylogger、OnePlus OTA相关的漏洞分析与利用、基于DOM的AngularJS沙箱逃逸、Vanilla Forums 2.3以下版本无需认证的远程代码执行漏洞、EnCase Forensic Imager取证工具存在栈溢出漏洞可以被恶意软件实现远程控制、OpenVPN 2.4.0未认证的拒绝服务、漫谈同源策略攻防、Hack PHP mail additional_parameters

资讯类：

惠普电脑的音频驱动中发现内置的键盘记录器

http://securityaffairs.co/wordpress/59013/hacking/hp-keylogger-conexant-audio-driver.html

技术类：

我的汽车保险如何暴露我的位置

https://www.andreascarpino.it/posts/how-my-car-insurance-exposed-my-position.html

惠普电脑的音频驱动中发现内置的keylogger

https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt

哈希套件 – Windows密码安全审查工具

http://www.openwall.com/lists/oss-security/2017/05/10/3

OnePlus OTA相关的漏洞分析与利用

https://alephsecurity.com/2017/05/11/oneplus-ota/

OpenVPN 2.4评估和报告

https://www.privateinternetaccess.com/blog/2017/05/openvpn-2-4-evaluation-summary-report/

对Mac os上的Proton.B恶意样本分析

https://www.cybereason.com/labs-proton-b-what-this-mac-malware-actually-does/

基于DOM的AngularJS沙箱逃逸

http://blog.portswigger.net/2017/05/dom-based-angularjs-sandbox-escapes.html

Gixy的主要目标是防止Nginx安全配置错误，并自动进行缺陷检测

https://github.com/yandex/gixy

Vanilla Forums <= 2.3 Host头注入CVE-2016-10073

https://exploitbox.io/vuln/Vanilla-Forums-Exploit-Host-Header-Injection-CVE-2016-10073-0day.html

Vanilla Forums <= 2.3无需认证的远程代码执行漏洞

https://exploitbox.io/vuln/Vanilla-Forums-Exploit-RCE-0day-Remote-Code-Exec-CVE-2016-10033.html

通过一个ImageMagick 漏洞泄漏 dropbox.com 和 box.com服务器上的内存

https://scarybeastsecurity.blogspot.com/2017/05/proving-missing-aslr-on-dropboxcom-and.html

EnCase Forensic Imager取证工具存在栈溢出漏洞可以被恶意软件实现远程控制

http://blog.sec-consult.com/2017/05/chainsaw-of-custody-manipulating.html

https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20170511-0_Guidance_Software_Encase_Stack_based_buffer_overflow_v10.txt

Windows 10 HAL’s Heap – Extinction of the "HalpInterruptController" Table Exploitation Technique

https://labs.bluefrostsecurity.de/blog/2017/05/11/windows-10-hals-heap-extinction-of-the-halpinterruptcontroller-table-exploitation-technique/

黑客XSS的天堂

http://xssor.io/

AppLocker Bypass – Regsvr32

https://pentestlab.blog/2017/05/11/applocker-bypass-regsvr32/

Hack PHP mail additional_parameters

http://blog.nsfocus.net/hack-php-mail-additional_parameters/

百度BSRC SQL注入挑战赛部分writeup

http://blog.nudtcat.org/SQL%E6%B3%A8%E5%85%A5/%E7%99%BE%E5%BA%A6BSRC-SQL%E6%B3%A8%E5%85%A5%E6%8C%91%E6%88%98%E8%B5%9B%E9%83%A8%E5%88%86writeup/

漫谈同源策略攻防

https://eth.space/same-origin-policy-101/

乐固加固（17年1月）逆向分析

http://bbs.pediy.com/thread-217556.htm

关于Android应用程序漏洞的防护措施

http://www.freebuf.com/articles/terminal/134018.html

Microsoft OneDrive iOS App 8.13 URI处理不当

https://cxsecurity.com/issue/WLB-2017050071

OpenVPN 2.4.0未认证的拒绝服务

https://www.exploit-db.com/exploits/41993/

XXE漏洞利用的一些技巧

http://www.91ri.org/17052.html

推荐阅读

bit
微软头条实习生分享深度学习自学指南

本文介绍了一位微软头条实习生自学深度学习的经验分享，包括学习资源推荐、重要基础知识的学习要点等。作者强调了学好Python和数学基础的重要性，并提供了一些建议。 ... [详细]

蜡笔小新 2023-12-14 20:58:32
jsp
HDU 2372 El Dorado（DP）的最长上升子序列长度求解方法

本文介绍了解决HDU 2372 El Dorado问题的一种动态规划方法，通过循环k的方式求解最长上升子序列的长度。具体实现过程包括初始化dp数组、读取数列、计算最长上升子序列长度等步骤。 ... [详细]

蜡笔小新 2023-12-14 15:08:18
jsp
求解hdu 1003 java题目的动态规划优化方法

本文讨论了如何优化解决hdu 1003 java题目的动态规划方法，通过分析加法规则和最大和的性质，提出了一种优化的思路。具体方法是，当从1加到n为负时，即sum(1,n)sum(n,s)，可以继续加法计算。同时，还考虑了两种特殊情况：都是负数的情况和有0的情况。最后，通过使用Scanner类来获取输入数据。 ... [详细]

蜡笔小新 2023-12-14 13:11:00
sum
Open judge C16H: Magical Balls 快速幂+逆元问题解析

本文主要解析了Open judge C16H问题中涉及到的Magical Balls的快速幂和逆元算法，并给出了问题的解析和解决方法。详细介绍了问题的背景和规则，并给出了相应的算法解析和实现步骤。通过本文的解析，读者可以更好地理解和解决Open judge C16H问题中的Magical Balls部分。 ... [详细]

蜡笔小新 2023-12-14 12:03:27
process
Linux进程控制块PCBtask_struct结构体结构及作用详解

本文详细介绍了Linux中进程控制块PCBtask_struct结构体的结构和作用，包括进程状态、进程号、待处理信号、进程地址空间、调度标志、锁深度、基本时间片、调度策略以及内存管理信息等方面的内容。阅读本文可以更加深入地了解Linux进程管理的原理和机制。 ... [详细]

蜡笔小新 2023-12-13 21:31:18
sum
P1651 塔 (动态规划) 的最大高度计算方法

本文介绍了P1651题目的描述和要求，以及计算能搭建的塔的最大高度的方法。通过动态规划和状压技术，将问题转化为求解差值的问题，并定义了相应的状态。最终得出了计算最大高度的解法。 ... [详细]

蜡笔小新 2023-12-13 19:52:19
string
向QTextEdit拖放文件的方法及实现步骤

本文介绍了在使用QTextEdit时如何实现拖放文件的功能，包括相关的方法和实现步骤。通过重写dragEnterEvent和dropEvent函数，并结合QMimeData和QUrl等类，可以轻松实现向QTextEdit拖放文件的功能。详细的代码实现和说明可以参考本文提供的示例代码。 ... [详细]

蜡笔小新 2023-12-14 16:06:38
char
Java实现大数乘法（分治算法）

本文介绍了使用Java实现大数乘法的分治算法，包括输入数据的处理、普通大数乘法的结果和Karatsuba大数乘法的结果。通过改变long类型可以适应不同范围的大数乘法计算。 ... [详细]

蜡笔小新 2023-12-14 15:43:50
char
Windows下配置PHP5.6的方法及注意事项

本文介绍了在Windows系统下配置PHP5.6的步骤及注意事项，包括下载PHP5.6、解压并配置IIS、添加模块映射、测试等。同时提供了一些常见问题的解决方法，如下载缺失的msvcr110.dll文件等。通过本文的指导，读者可以轻松地在Windows系统下配置PHP5.6，并解决一些常见的配置问题。 ... [详细]

蜡笔小新 2023-12-14 12:37:25
sum
C++省略号类型和参数个数不确定函数参数范例

本文介绍了C++中省略号类型和参数个数不确定函数参数的使用方法，并提供了一个范例。通过宏定义的方式，可以方便地处理不定参数的情况。文章中给出了具体的代码实现，并对代码进行了解释和说明。这对于需要处理不定参数的情况的程序员来说，是一个很有用的参考资料。 ... [详细]

蜡笔小新 2023-12-14 12:36:28
jsp
C#之数据集：DataSet对象的使用及相关方法详解

本文介绍了C#中数据集DataSet对象的使用及相关方法详解，包括DataSet对象的概述、与数据关系对象的互联、Rows集合和Columns集合的组成，以及DataSet对象常用的方法之一——Merge方法的使用。通过本文的阅读，读者可以了解到DataSet对象在C#中的重要性和使用方法。 ... [详细]

蜡笔小新 2023-12-14 12:09:13
jsp
OC学习笔记之@property和@synthesize

本文介绍了OC学习笔记中的@property和@synthesize，包括属性的定义和合成的使用方法。通过示例代码详细讲解了@property和@synthesize的作用和用法。 ... [详细]

蜡笔小新 2023-12-14 12:05:06
jsp
Mac OS 升级到11.2.2 Eclipse打不开了，报错Failed to create the Java Virtual Machine

本文介绍了在Mac OS升级到11.2.2版本后，使用Eclipse打开时出现报错Failed to create the Java Virtual Machine的问题，并提供了解决方法。 ... [详细]

蜡笔小新 2023-12-14 12:01:13
process
PHP实现断点续传乱序合并文件的方法和源码

本文介绍了使用PHP实现断点续传乱序合并文件的方法和源码。由于网络原因，文件需要分割成多个部分发送，因此无法按顺序接收。文章中提供了merge2.php的源码，通过使用shuffle函数打乱文件读取顺序，实现了乱序合并文件的功能。同时，还介绍了filesize、glob、unlink、fopen等相关函数的使用。阅读本文可以了解如何使用PHP实现断点续传乱序合并文件的具体步骤。 ... [详细]

蜡笔小新 2023-12-14 04:33:19
select
关于cuowu类的错误提示和使用AdjustmentListener的问题

本文讨论了一个关于cuowu类的问题，作者在使用cuowu类时遇到了错误提示和使用AdjustmentListener的问题。文章提供了16个解决方案，并给出了两个可能导致错误的原因。 ... [详细]

蜡笔小新 2023-12-13 22:09:56

嘿嘿可爱无罪

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章