一周信息安全干货分享【第132期】

 

安全资讯


1.去年曝出的 HPE 远程管理软件身份验证漏洞是 29 个“A”

攻击者只需要通过 cURL 发送一个包含 29 个 A 的请求,就能绕过身份验证

2.NSO Group 的一名雇员被控盗取了公司的间谍软件

以色列间谍软件公司 NSO Group 的间谍软件能入侵智能手机

3.入侵 Gentoo GitHub 账号的攻击者在构建脚本里加入 rm -rf /* 命令

Gentoo Linux 项目在 GitHub 上的账号遭到入侵,攻击者随后对 Gentoo 的代码进行大肆修改

4.Firefox 和 Chrome 下架流行扩展 Stylish

用户样式管理器 Stylish 是一个非常受欢迎的浏览器扩展,但在被多次转手之后,这个扩展开始变得恶意

 

技术干货


1.FastJson 反序列化漏洞利用的三个细节 

TemplatesImpl 利用链

[详细阅读…]