Aggregator

文末暗号

A new vuln popped up in our traffic this month, as well as lots of the same old CVEs—IoT and Microsoft Exchange.

跟踪的26家网安上市公司本周股价平均上涨0.7%，中位数下跌0.1%。

也是一个实践中存在的问题。

在之前的文章中曾经提到过，ChatGPT其实是不接受来自互联网的知识的，他的所有内容都是来自于至少3年前各种来源的知识库。但这并不意味着ChatGPT没有能力学习你的回答。

在之前的文章中曾经提到过，ChatGPT其实是不接受来自互联网的知识的，他的所有内容都是来自于至少3年前各种来源的知识库。但这并不意味着ChatGPT没有能力学习你的回答。

首先ChatGPT一般会根据你和他的问答内容进行一定的上下文参考，其次，由于ChatGPT学习的内容之庞大，你通过一种直白的方式问不到的答案不一定是他不会，有可能是你问的方式不对。

在ChatGPT的官方文档中，他首先鼓励你通过提供多个示例来让ChatGPT更准确的寻找答案，他把这个方案称之为**“few-shot learning.”**

除此之外，当然他也允许你通过微调功能来对ChatGPT进行一定的训练，来获得一个更符合自己要求的ChatGPT，当然，这个功能是收费的。

但Fine-tuning这个功能目前只能应用于GPT3的基础模型，就目前而言，这个功能其实还不如很多市面上的其他大模型，openai并没有给出特别好的自定义方案给大家。但这篇文章还是先聊聊这个。

东软安全将继续推动国民经济基础设施与重要民生领域的信息化水平不断提高，以软件构建体系化安全，促进数字经济健康发展，引领中国网安产业迈向新高度。

Summary A series of Remote Code Execution (RCE) vulnerabilities on select Cisco Small Business Switches have been disclosed. Proof-of-Concept (PoC) exploit code has been made public. Threat Type Vulnerability Overview IBM X-Force is monitoring the disclosure of four vulnerabilities in select Cisco Small Business Switches running vulnerable firmware. The vulnerabilities, successfully exploited could lead to RCE. A list of vulnerable products is available here. CVE-2023-20159, CVE-2023-20160, CVE-2023-20161,

文末暗号

5月21日，我们来深圳啦！热招岗位等你来聊，活动指引快戳开看看吧~

可以通过该文查询到数据库名、实例名、域名、服务名等信息。

活动福利最后一天～

一种新的实用方法可以从域管理员升级到企业管理员

This post shows how a malicious website can take control of a ChatGPT chat session and exfiltrate the history of the conversation. Plugins, Tools and Integrations With plugins, data exfiltration can happen by sending too much data into the plugin in the first place. More security controls and insights on what is being sent to the plugin are required to empower users. However, this post is not about sending too much data to a plugin, but about a malicious actor who controls the data a plugin retrieves.

I’m teaching FOR500 Windows Forensic Analysis in Singapore this week and something that was recently added to the class relates to a new(ish) discovery into the operation of Jumplists on Windows 10. During an update to the class it was discovered that when a folder is copied, the AutomaticDestination Jumplist file associated with Windows Explorer […]

背景&目标

​ CodeQL Cli适合批量做扫描，但是扫描结果并不适合直接做批量的运营，仅适合一些实锤的问题，对于一些还需要人工处理判断的结果就不太适合了(要看源码、调用上下文)；如果使用VSCode插件来做，也只是单条规则扫单个/多个数据库，结果倒是很友好，点点点就能读代码来分析了，所以这种用法不适合批量的query扫描。

​ 如果付费的话自然是可以解决了，可以在CI/CD中集成，就方便多了 -。- 但是对于个人使用者来说不太现实，所以我就想用一个简单的办法来实现这个目的

CodeQL cli批量扫描结束后，导入数据库+历史query结果，直接在vscode里运营结果，流程为：

1
CI/CD 扫描 ---> 结果(数据库+扫描结果) ---> 导入VSCode运营