专栏名称: 天融信阿尔法实验室

天融信阿尔法实验室将不定期推出技术研究新方向成果，专注安全攻防最前沿技术

每日攻防资讯简报[Apr.25th]

天融信阿尔法实验室 · 公众号 · · 2021-04-25 08:53

正文

0x00漏洞

1.如何使用Broadcom芯片的“WLAN RAM共享”功能来通过蓝牙在Wi-Fi上获得受控代码执行

https://naehrdine.blogspot.com/2021/04/bluetooth-wi-fi-code-execution-wi-fi.html

2.了解Hongdian H8922中的多个漏洞如何使攻击者能够访问设备后门并以root特权运行任意命令（CVE-2021-28149-28152）

https://ssd-disclosure.com/ssd-advisory-hongdian-h8922-multiple-vulnerabilities/

3.FusionAuth漏洞远程攻击者能够使用xml外部实体伪造SAML消息并读取文件系统上的文件，或将网络请求发送到其他系统（CVE-2021-27736）

https://www.compass-security.com/fileadmin/Research/Advisories/2021-03_CSNC-2021-004_FusionAuth_SAML_Library_XML_External_Entity.txt

4.Android版的Brave存在一个漏洞，使恶意网页可以远程窃取您的cookie

https://infosecwriteups.com/brave-stealing-your-cookies-remotely-1e09d1184675

https://www.theregister.com/2021/04/22/airdrop_contact_leaks/

0x01工具

1.s3-account-search：找到一个S3存储桶所属的帐户ID

https://github.com/WeAreCloudar/s3-account-search

2.CrossLinked：LinkedIn枚举工具，通过搜索引擎从组织中提取有效的员工姓名

https://github.com/m8r0wn/CrossLinked

3.QuickXSS：使用Waybackurls，GF，GF模式和Dalfox自动执行XSS的Bash脚本

https://github.com/theinfosecguy/QuickXSS

4.vulnerablecode：FOSS软件包漏洞数据库

https://github.com/nexB/vulnerablecode

0x02恶意代码

1.对密码管理器Passwordstate的供应链攻击

https://www.csis.dk/newsroom-blog-overview/2021/moserpass-supply-chain/

2.远控ToxicEye利用Telegram从受害者那里窃取数据并进行自我更新以执行其他恶意活动

https://blog.checkpoint.com/2021/04/22/turning-telegram-toxic-new-toxiceye-rat-is-the-latest-to-use-telegram-for-command-control/

0x03技术

请到「今天看啥」查看全文

推荐文章

搜猪 · 构建生猪产业双轮驱动体系 —— 搜猪俱乐部石家庄见面会探索降本增效新路径

昨天

安徽省发展改革委 · 安徽省新能源汽车产业集群建设企业巡展——【261】安徽泓诺新材料有限公司

昨天

安徽省发展改革委 · 安徽省新能源汽车产业集群建设企业巡展——【261】安徽泓诺新材料有限公司

昨天

搜猪 · 齐聚山西运城！2025搜猪俱乐部会员见面会干货拉满，养猪人开启"双保险"新征程

2 天前

搜猪 · 生猪现货日报|全国均价14.49元/公斤市场继续横盘局面各地猪价涨跌互现为主

3 天前

搜猪 · 2025搜猪俱乐部会员线下见面会西安站圆满落幕共探产业避险增效新路径

3 天前

悦网美文日赏 · 直到父母过世，我们才真正成年

7 年前

掌上太原 · 太原接下来的半个月，雨雨停停停雨雨雨雨雨雨雨雨…

7 年前

鲁中晨报 · 雨后，淄博有个仙境快要藏不住了！这个夏天必须去！

7 年前

独角兽智库 · 【研习】塞斯•卡拉曼《安全边际》中的30个重要投资思想

7 年前

文案君 · 下厨房105句卷首文案句句经典，海报也很走心！

7 年前