0> 原型及其搜索机制• NodeJS原型机制,比较官方的定义:我们创建的每个函数都有一个 prototype(原型)属性,这个属性是一个指针,指向一个对象,而这个对象的用途是包含可以由特定类型...
如何使用输入净化来预防Web攻击?
尽管我们在安全工具上投入了大量的成本,代码库仍可能是任何组织的网络安全中最薄弱的环节。净化和验证输入通常是第一层防御。 多年来攻击者一直在钻典型漏洞的空子,成功率相当高。虽然高级威胁分子采用更复杂的方...
DIE:基于保留属性变异的JavaScript浏览器引擎模糊测试工具|工具分析
一、浏览器模糊测试简介在当前整个计算机网络环境中,web浏览器是应用最广泛的软件之一,针对浏览器发起的攻击层出不穷。近年来,浏览器安全事件频发,给人们带来严重的损失。而Fuzzing的自动化属性以及其...
Stubbifier: 去除动态服务端 JavaScript 应用的膨胀代码
原文标题:Stubbifier: debloating dynamic server-side JavaScript applications原文作者:Alexi Turcotte, Ellen Ar...
实战攻防中关于文档的妙用
扫码领资料 获网安教程 免费&进群 来Track安全社区投稿~ 千元稿费!还有保底奖励~ 一、PPT钓鱼 简单制作一个用于钓鱼的PPTX文件 一般那种小白不知道PPT也能拿来钓鱼,这里主要是借...
精简JS应用:一种去除JavaScript库中未使用函数的方法
原文标题:Slimming javascript applications: An approach for removing unused functions from javascript lib...
ChatGPT 在漏洞赏金的备忘录
最近在研究Web3的漏洞挖掘,发现ChatGpt是Bug Bounty非常好的智囊,真的如虎添翼。前提是知识量要大,能提供足够的上下文信息。https://github.com/TakSec/chat...
JSLIM:通过瘦身技术减少已知JS漏洞
原文标题:JSLIM: Reducing the Known Vulnerabilities of JavaScript Application by Debloating原文作者:Renjun Ye...
自动识别 JS 文件中 URL 节点信息
LinkFinder是一个python脚本,用于发现JavaScript文件中的端点及其参数。通过这种方式,渗透测试人员能够在他们正在测试的网站上收集新的隐藏端点,可能包含新的漏洞。它通过使用 pyt...
【欺负老实人】在chatgpt Prompt中注入攻击代码,截取跟踪用户信息,钓鱼XSS。
免责声明:本文仅用于技术讨论和学习,旨在提供相关信息和知识。任何使用者根据本文提供的信息所造成的直接或间接后果及损失,均由使用者本人负责,文章作者不承担任何责任。嘻嘻嘻,标题有点擦边!!要不加笔者微信...
带管理面板的Javascript键盘记录器:Flux-Keylogger
####################免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开...
V8漏洞在《DOTA2》游戏中被利用
当我们想到V8的漏洞时,首先想到的可能是复杂的浏览器零日漏洞链。虽然浏览器可能是V8最有喜欢的攻击目标,但除了浏览器之外,这个开源JavaScript引擎也嵌入了无数的项目中。如果跨安全边界使用Jav...
33