•  從 SQL 到 RCE: 利用 SessionState 反序列化攻擊 ASP.NET 網站應用程式 | DEVCORE 戴夫寇爾
From SQL Injection to Remote Code Execution: Exploiting Deserialization Vulnerabilities in ASP.NET Applications via SessionState

本文深入探讨了一个从SQL注入升级至远程代码执行(RCE)的技术路径，通过分析ASP.NET应用中的SessionState机制与反序列化漏洞，揭示了攻击者如何巧妙利用这些技术细节实现对目标系统的全面控制。这是当前网络安全领域的一个重要议题，对于理解和防御高级持续性威胁具有极高价值。

•  改进Ruby反序列化漏洞利用：构建更稳定的通用小工具链
Ruby 3.4 Universal RCE Deserialization Gadget Chain / nastystereo.com

本文深入探讨了Ruby反序列化漏洞的最新利用方法，作者不仅更新了针对Ruby新版本（包括3.4-rc）的有效链式攻击策略，还详细介绍了如何避免执行后引发异常的新技术。通过使用Rake和Make作为命令执行载体，并巧妙地处理Gem::Version对象以规避正则表达式的严格检查，文章为读者提供了实用且创新的安全研究案例。

•  破解企业级笔记本电脑上的BitLocker：深入分析TPM安全漏洞
BitLocker Security: Are Your Keys Truly Safe?

本文深入探讨了企业级笔记本电脑中广泛使用的BitLocker全盘加密技术的安全性，特别是针对其默认实现的潜在弱点。文章揭示了一个关键问题：在没有额外身份验证因素的情况下，如果系统通过完整性检查，则受信任平台模块（TPM）将提供未加密的卷主密钥（VMK），这可能被攻击者截获并用于解密数据。

•  GraphQL Cop：一款针对GraphQL API的安全审计工具 - FreeBuf网络安全行业门户
Diving into GraphQL Cop: Your Guardian for Graph APIs in CI/CD Pipelines

本文介绍了GraphQL Cop这一创新性工具，它能够对GraphQL API进行深度安全性检查，特别适用于CI/CD流程中的安全测试。其最大亮点在于提供了详尽的漏洞复现方法，即通过简单的cURL命令即可验证所报告的问题。

•  JFinalCMS 代码审计
In-depth Analysis of Security Vulnerabilities in JFinalCms: From XSS to SQL Injection and Arbitrary File Reading

本文深入剖析了JFinalCms系统中的多个安全漏洞，包括反射型XSS攻击和SQL注入等，作者不仅详细展示了这些漏洞的技术细节，还提供了利用示例与修复建议，对于提高Java Web应用的安全性具有重要参考价值。

•  Sitecore 8.x - 10.x存在命令执行漏洞
Deep Dive into Exploiting Unauthenticated Remote File Read and RCE Vulnerability - CVE-2024-46938

本文深入剖析了一个由操作顺序不当引发的安全漏洞（CVE-2024-46938），详细展示了如何利用这一缺陷获取敏感信息，并最终达到远程代码执行的目的。文章提供了实际的代码示例与详细的步骤说明，是理解此类安全风险及防护措施的重要资源。

* 查看或搜索历史推送内容请访问：
https://sectoday.tencent.com/
* 新浪微博账号： 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号： 腾讯玄武实验室