🧠 前提 有些黑客攻击不需要零日漏洞、漏洞链或精英工具。 有时,您所需要的只是一个写得很差的auth.js、面向公众的 JavaScript 包,以及一点点好奇心。 这是一个关于前端 JavaScri...
子域名收集全攻略
子域名收集全攻略 —— 实用工具、技巧与实战案例详解 在网络安全、资产管理和信息收集领域,子域名收集是一项基础且关键的任务。通过全面地发现目标域名下的子域名,可以揭露更多隐藏资产、辅助漏洞挖掘或攻击面...
记一次Node.js站点渗透
前言 遇到一个站,后端是Node.js写的,对于这种类型的站点,一般比较难getshell,但也实现了最终的目标,拿到后台权限 信息搜集 先进行常规的信息搜集,子域名扫描、端口扫描、目录扫描等 这个站...
Node.js 恶意广告活动针对加密用户
微软警告称有恶意广告活动利用 Node.js 通过 Binance 和 TradingView 等虚假加密交易网站传播窃取信息的恶意软件。微软研究显示,自 2024 年 10 月起,Node.js 在...
网安原创文章推荐【2025/5/15】
2025-05-15 微信公众号精选安全技术文章总览洞见网安 2025-05-15 0x1 Xtream反序列化T3Ysec 2025-05-15 20:40:07 本文详细介绍了XStream,一个...
Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
点击蓝字关注中科天齐Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。异步加密操作可能导致进程崩溃(C...
Node.js 异步加密错误处理不当漏洞(CVE-2025-23166)
中危公告近日,安全聚实验室监测到 Node.js 存在异步加密错误处理不当漏洞 ,编号为:CVE-2025-23166,CVSS:5.3 攻击者可以通过构造特定的异常输入,导致 Node.js 进程...
Node.Js 异常处理不当漏洞
漏洞预警:Nodejs官方发布新版本,新版本中修复了多个安全漏洞,其中包括一个异常处理不当漏洞可导致拒绝服务攻击,该漏洞是由于C++方法SignTraits::DeriveBits () 在后台线程执...
Electron客户端安全入门【上】
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:9509声明:仅供学习参考,请勿用作违法用途目录前记内容总结nodeIntegrationcontextIsola...
利用浏览器漏洞绕过 Windows Defender 应用程序控制 (WDAC)
Windows Defender 应用程序控制 (WDAC)是 一项Windows 安全功能,可帮助防止未经授权的代码(例如恶意软件或不受信任的可执行文件和脚本)在系统上运行。它是一种应用程序白名单机...
WEB前端逆向在nodejs环境中复用webpack代码
(过于小众的纯技术文章,感兴趣的网络安全同行自取TXT,懒得排版)☆ 背景介绍WEB前端逆向中会遭遇webpack处理过的js代码,这种代码不是给人类阅读的,所以没什么可读性。有些生成关键字段的函数位...
Trustwave 揭露隐蔽的 NodeJS 后门攻击活动
Trustwave SpiderLabs 安全团队发现了一种新型网络威胁,攻击者利用虚假的 CAPTCHA 验证机制传播基于 NodeJS 的隐蔽后门程序。该攻击活动展示了威胁行为者如何通过社会工程学...