2026年 第28周 微信公众号精选安全技术文章总览
洞见网安 2026-7-13
0x1 电子壳里的漏洞:Electron应用如何成为攻击者的后门温床
幻泉之洲 2026-07-11T11:08:14
本文分析了Electron应用中存在的安全漏洞,指出其设计缺陷如安装到用户目录、未加密的asar包、以及Chrome调试协议等,为攻击者提供了持久化后门的入口。文章详细探讨了BEEMKA脚本注入、DLL劫持、远程调试三种攻击手法,并提供了相应的监控方案。文章首先介绍了Electron框架及其广泛应用,随后分析了BEEMKA通过修改asar文件进行攻击的方法,DLL劫持技术以及如何利用Chrome远程调试协议进行攻击。最后,文章强调了AppData目录下的文件变化监控的重要性,并提供了相关的参考资料。
Electron 应用安全 桌面应用安全 代码注入攻击 DLL 劫持 远程调试攻击 持久化攻击 安全监控 漏洞分析 跨平台安全
0x2 炸裂!这款 BurpSuite 插件让 Web 漏洞探测效率提升十倍
棉花糖网络安全工具箱 2026-07-11T10:38:51 棉花糖糖糖
本文介绍了一款名为xia_tan的BurpSuite插件,该插件旨在提高Web漏洞探测的效率。xia_tan插件专注于对常见Web漏洞进行初步扫描,无外部依赖,体积小巧但功能强大。它支持多种漏洞检测,包括反射型XSS、SQL注入、SSTI模板注入、NoSQL注入等。插件采用行级Jaccard相似度算法和布尔盲注对照算法,能够有效减少误报,提高检测效率。xia_tan插件还提供了详细的扫描流程、配置管理和结果查看功能,支持手动扫描和自动监控。文章还介绍了插件的技术亮点、架构设计、项目结构和使用方式,并对编译部署环境提出了要求。
网络安全工具 漏洞扫描 Web安全 安全测试 编程技术 开源项目
0x3 DVWA每日实操系列|第8期 弱会话ID漏洞 Weak Session IDs
网络安全学习室 2026-07-11T10:31:36 © 点击关注👉
本文详细介绍了DVWA(Damn Vulnerable Web Application)中的弱会话ID漏洞及其不同安全级别的防护措施。文章首先解释了会话ID漏洞的通俗原理,即通过简单的Session-ID生成规则,攻击者可以猜测会话值并伪造Cookie登录他人账号。接着,文章分别针对Low、Medium、High和Impossible级别防护的漏洞成因、防护逻辑和绕过方式进行了解释。最后,文章提供了真实SRC(Security Response Center)落地思路和漏洞报告模板,并给出了修复建议,包括使用安全随机函数生成Session-ID、设置会话超时时间等。文章还提醒读者,弱会话ID在中小型开发项目中十分常见,并且只要Session-ID规律性强,就可以提交漏洞。
Web安全 漏洞分析 安全编程 SRC挖洞 网络安全入门 CTF比赛 实战教程
0x4 AI与云安全事件案例分析周报|2026.07.06 - 2026.07.10
绿盟科技研究通讯 2026-07-11T08:00:00 © 星云实验室
本周网络安全事件聚焦于AI Agent执行边界、AI编排平台暴露、云身份钓鱼与开发者供应链安全。GhostApproval攻击利用AI编码助手处理恶意符号链接时的审批绕过,将恶意仓库变成本地主机入口,影响Amazon Q Developer等多款工具。Langflow多漏洞被利用,其编排平台成为算力、凭证和二阶段载荷入口,CISA要求联邦机构紧急修复。Forg365平台将Microsoft 365钓鱼、OAuth与会话持久化产品化,利用AI生成钓鱼邮件并刷新SSO cookie。Injective SDK npm供应链投毒事件中,恶意版本窃取钱包密钥并通过HTTP POST外传,影响大量依赖链。GitHub ghost accounts被用于系统性枚举企业代码组织,攻击者使用休眠账号和泄露PAT进行低噪声枚举。Helix新型vishing组织利用device-code phishing窃取SharePoint数据,通过电话诱导完成认证并注册新的MFA认证器维持访问,自动化枚举并批量下载SharePoint文件。这些事件揭示了AI技术融合带来的新型攻击路径和风险,涉及供应链安全、身份认证、数据窃取等多个层面,需要加强边界防御、权限管理和应急响应能力。
云安全 人工智能安全 供应链安全 身份认证安全 社会工程学 开发者安全
0x5 【病毒分析】某银狐伪装Steam客户端启动器”Steam.exe“、”Telegram简体中文语言包“隐蔽投毒
只会看监控的实习生 2026-07-11T08:00:00 菜狗
该文章详细分析了一个被恶意代码修改过的Steam启动器样本。样本通过protobuf注册路径在WinMain执行前触发恶意代码,而非常见的入口点或TLS回调方式。恶意代码首先在内存中构造模块名,并使用自定义API哈希逻辑解析函数地址。接着,样本检查当前模块路径是否包含“语言”字符串,若包含则解码字符串并打开Telegram汉化钓鱼链接。随后,恶意代码通过ShellExecuteA打开URL下载bmp文件到内存中。下载的文件大小为0x22808字节,但文章中提到访问该地址时已无法下载。解密算法采用原地逐字节XOR变换,使用自定义密钥和混合计数器进行解密。最终,解密后的shellcode作为gdi32!EnumObjects的回调函数执行,从而在枚举GDI对象过程中执行远程恶意代码。文章最后提供了样本的IOC信息,包括URL、MD5和SHA值,并提醒用户下载软件时需谨慎,注意辨别是否为官方版本。
恶意软件分析 植入攻击 网络钓鱼 文件下载 内存解密 API Hooking 社会工程学 隐蔽性技术
0x6 ThinkCMF漏洞全解析:从版本识别到Getshell的实战指南
小兵搞安全 2026-07-11T07:39:48 © simeon的文章
本文详细梳理了ThinkCMF内容管理系统在三个主要版本(X系列、5.x系列、6.x系列)中存在的十余个已确认漏洞,并提供了完整的利用路径和防御方案。文章首先强调了版本识别的重要性,因为不同版本的攻击路径差异很大,识别技巧包括访问/README.md、/admin和查看响应头等。接着,文章详细分析了四个主要的Getshell漏洞:X系列的前台模板注入(无需认证,CVSS 9.8)、5.x系列的后台路由注入(需后台权限)、X系列和6.x系列的Ueditor文件上传漏洞(需前台登录或权限),以及5.x系列的ThinkPHP5底层RCE漏洞(无需认证)。此外,还提到了一些辅助漏洞,如SQL注入系列、任意文件删除、CSRF创建超级管理员等。文章最后提供了一个实战决策树,帮助攻击者根据目标版本选择合适的攻击路径,并推荐了自动化检测工具和防御加固方案,强调了版本升级、权限控制、安全配置和代码审计的重要性。
CMS安全 漏洞分析 ThinkPHP 模板注入 文件上传漏洞 路由注入 SQL注入 跨站脚本(XSS) 跨站请求伪造(CSRF) 权限提升 Webshell获取 漏洞利用 防御加固 版本识别 安全研究
0x7 威胁情报 | Injective SDK 投毒,加密钱包私钥失窃
白帽子 2026-07-11T07:11:00 慢雾安全团队
安全研究公司 Socket 和 SlowMist MistEye 发现 @injectivelabs/sdk-ts 1.20.21 版本存在异常行为,该 SDK 是 Injective 官方 SDK,用于查询链上数据、构造交易、签名以及导入或生成钱包密钥。恶意代码会在部分私钥派生接口被调用后,将助记词或字符串私钥推入队列,经 Base64 编码后放入 X-Request-Id 请求头,再以 HTTP POST 请求发出。恶意代码被植入了 SDK 的密钥派生路径,触发条件不是安装,而是应用实际调用钱包接口。正常的 SDK 外观掩盖了异常的参数,恶意区块位于 accounts 构建文件中,注释使用了 key-derivation-telemetry、anonymized usage metrics 和 SDK optimization 等字样,但参数承载的却是钱包根密钥。程序先把记录放入全局队列,等待约 2 秒;如果期间发生多次密钥派生,就用 | 连接成一批,随后,程序使用 Base64 编码。发送函数优先使用 fetch,把数据放到 X-Request-Id 请求头,正文为空;如果 fetch 不可用且 __require 可用,才回退到 Node.js 的 https.request。主机名没有明文写在代码中,而是被拆成数字数组,再通过 String.fromCharCode 还原。当前报告记录其曾解析到 15[.]235[.]87[.]88;DNS 结果会随时间和查询位置变化,不能单独用来判断服务控制权。对使用者而言,最紧迫的问题是确认密钥是否经过受影响的接口。建议检查依赖树、依赖锁定文件、缓存、容器镜像和已构建前端资产,确认没有继续使用 @injectivelabs/sdk-ts@1.20.21。升级到维护者确认并由组织自行验证的安全版本;不要只删除缓存后继续使用原有钱包密钥。盘点所有通过该 SDK 派生或导入的助记词、私钥和测试密钥。对高价值钱包生成新密钥并转移资产,同时撤销旧地址的授权、合约角色和自动签名权限。
供应链攻击 恶意代码注入 密钥管理 数据泄露 npm 生态安全 后门机制 Web3 安全 静态/动态分析
0x8 fast-mcp-telegram 存在严重漏洞,攻击者无需令牌即可访问 Telegram 会话
暗镜 2026-07-11T06:00:00 © ZM
fast-mcp-telegram 存在一个严重的安全漏洞(CVE-2026-52830),该漏洞允许攻击者无需有效的持有者令牌即可访问 Telegram MCP 会话。漏洞源于会话文件解析中的路径遍历缺陷,攻击者可以通过构造特定的路径遍历别名来绕过令牌验证。该漏洞影响了 fast-mcp-telegram 的所有版本(≤ 0.19.0),在版本 0.19.1 中得到了修复。攻击者可以利用此漏洞读取和发送 Telegram 消息、执行 MTProto API 调用,并访问为该会话配置的工具和附件。
漏洞披露 身份验证漏洞 路径遍历 Telegram安全 服务器安全 代码审计 安全更新
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
