“ 火狐0day。”PS:有内网web自动化需求可以私信01—导语 在刚刚落幕的Pwn2Own柏林2025黑客大赛中,Mozilla Firefox浏览器成为焦点——两名安全研究员利用两个零日漏...
JS逆向,前端加密暴力破解
网站运行的时间轴 url-->加载html-->加载js-->运行js初始化-->用户触发某个事件--调用了某段js-->明文数据-->加密函数-->加密后的...
Node.js 异步加密错误处理不当漏洞(CVE-2025-23166)
中危公告近日,安全聚实验室监测到 Node.js 存在异步加密错误处理不当漏洞 ,编号为:CVE-2025-23166,CVSS:5.3 攻击者可以通过构造特定的异常输入,导致 Node.js 进程...
ATT&CK框架中的Smuggling技术
前言什么是 Smuggling(走私)技术?“走私”是指在看似正常的文件中夹带私货,绕过安全电子邮件网关和其他网络防御措施,将恶意文件传送给受害者的一种方法。如果恶意文件没有被“走私”,而是直接附加到...
将恶意代码注入 PDF 文件并创建 PDF Dropper
将恶意代码注入 PDF 文件并创建 PDF 植入器介绍PDF 文件通常被大多数人视为静态文档。然而,PDF 标准允许在文档中执行 JavaScript 代码。此功能提供了各种可用于红队测试和网络安全研...
利用虚假 GIF 进行多阶段反向代理卡盗刷攻击
在今天的文章中,我们将回顾一次针对 Magento 电商网站的复杂、多阶段信用卡欺诈攻击。该恶意软件利用伪造的 gif 图像文件、本地浏览器sessionStorage数据,并使用恶意反向代理服务器篡...
Tycoon2FA钓鱼工具包发布重大更新
网络安全公司Sekoia于2023年发现的Tycoon2FA钓鱼工具包近期完成升级,其反检测能力显著增强。该工具包现采用HTML5画布定制验证码、混淆JavaScript中的隐形Unicode字符及反...
Magecart 攻击升级:电商平台支付信息遭高度混淆代码窃取
关键词网络攻击一种复杂的 Magecart 攻击活动已被发现,其目标指向电子商务平台,攻击者使用经过高度混淆的 JavaScript 代码来获取敏感的支付信息。这一最新的 Magecart 数据窃取攻...
知名Ripple币JavaScript库xrpl.js遭供应链攻击入侵
威胁攻击者入侵了瑞波币(Ripple)官方npm JavaScript库xrpl.js,企图窃取用户私钥。该库是连接JavaScript/TypeScript应用与XRP账本的推荐开发工具,周下载量超...
渗透过程中的JS
JS是什么JS 文件(.js 后缀) 是 JavaScript 的源代码文件,用于在网页或服务器端实现动态功能、交互逻辑和数据处理。它是现代 Web 开发的三大核心技术之一(HTML + CSS + ...
不可忽视的JS安全风险
前言JavaScript(通常缩写为JS)是一门基于原型和一等函数的多范式高级解释型编程语言。在客户端场景中,JavaScript通常以解释型语言实现,其源代码无需预先编译,而是以文本格式直接传输至浏...
新型钓鱼攻击:SVG文件中植入恶意HTML文件
网络安全专家发现了一种利用SVG(可缩放矢量图形)文件格式的新型钓鱼技术,攻击者通过该技术向不知情的受害者投递恶意HTML内容。这种于2025年初首次被发现的威胁手段,标志着钓鱼战术的显著升级——攻击...