javascript - 第 17 | CN-SEC 中文网

安全新闻

NPM JavaScript存储库暗藏后门

近日，Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码，一旦执行，就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了...

07月16日15 views评论

阅读全文

利用某种组件来实现SSRF

正文正常请求在正常情况下，Prerender会接受用户代理为SlackbotLinkExpanding 1.0的请求，并渲染网页内容。这种请求不会包含恶意的JavaScript代码。例如：curl -...

07月12日安全文章91 views评论

阅读全文

安全新闻

克隆攻击：利用重复的对象属性在 Chrome 渲染器中获取 RCE

在这篇文章中，我将利用 Chrome 的 Javascript 引擎 v8 中的一个对象损坏漏洞 CVE-2024-3833，该漏洞允许通过一次访问恶意网站在 Chrome 的渲染器沙箱中执行远程代码...

07月12日25 views评论

阅读全文

安全新闻

GootLoader 恶意软件不断演变，仍通过 SEO 投毒造成严重破坏

网络犯罪分子积极使用名为 GootLoader 的恶意软件向受感染的设备发送更多恶意软件。根据Cybereason最近的分析，(https://www.cybereason.com/blog/i-am...

07月08日24 views评论

阅读全文

安全新闻

未知技术大揭秘，让XSS漏洞无处遁形！0x1

forever young 不论昨天如何，都希望新的一天里，我们大家都能成为更好的人，也希望我们都是走向幸福的那些人01 背景安全小白团今天我将讨论使用不同技术的多种跨站脚本(XSS) 攻击，这是...

07月05日47 views评论

阅读全文

安全工具

关于收集JS的工具

第一步是收集可能的几个javascript文件（更多的文件=更多的路径，参数->更多的vulns）。要想获得更多的js文件，这个要看目标，一个在大目标中很注重的人，这也要看你使用的工具。 to...

07月04日12 views评论

阅读全文

安全文章

优化 XSS Payloads 绕过大写与长度限制【部分】

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客新域名：https://gugesay...

07月02日38 views评论

阅读全文

安全新闻

CVE-2024-28397：js2py 漏洞使数百万 Python 用户面临 RCE 风险

js2py是一个广泛使用的 Python 库，每月下载量超过 100 万次，该库中存在一个严重漏洞，导致无数网络抓取工具和应用程序面临远程代码执行 (RCE) 攻击。该漏洞编号为CVE-2024-28...

06月30日50 views评论

阅读全文

安全漏洞

CVE-2024-3833 Chrome的渲染器沙盒RCE

在这篇文章中，我将利用Chrome的JavaScript引擎v8中的一个对象损坏漏洞CVE-2024-3833，这是我在2024年3月报告的漏洞331383939。还有一个类似的漏洞331358160...

06月28日150 views评论

阅读全文

安全新闻

CVE-2024-3833 Chrome沙盒RCE

在这篇文章中，我将利用Chrome的JavaScript引擎v8中的一个对象损坏漏洞CVE-2024-3833，这是我在2024年3月报告的漏洞331383939。还有一个类似的漏洞33...

06月27日19 views评论

阅读全文

安全新闻

新的网络威胁'Boolka'通过SQLi攻击部署BMAMAGER木马

A previously undocumented threat actor dubbed Boolka has been observed compromising websites with ma...

06月26日14 views评论

阅读全文

安全工具

Chrome 插件：lazyegg - URL 中提取各种类型的数据

LazyEgg 是一款功能强大的工具，可从目标 URL 中提取各种类型的数据。它可以提取链接、图像、Cookie、表单、JavaScript URL、localStorage、主机、IP 和泄露的凭据...

06月23日29 views评论

阅读全文

NPM JavaScript存储库暗藏后门

利用某种组件来实现SSRF

克隆攻击：利用重复的对象属性在 Chrome 渲染器中获取 RCE

GootLoader 恶意软件不断演变，仍通过 SEO 投毒造成严重破坏

未知技术大揭秘，让XSS漏洞无处遁形！0x1

关于收集JS的工具

优化 XSS Payloads 绕过大写与长度限制【部分】

CVE-2024-28397：js2py 漏洞使数百万 Python 用户面临 RCE 风险

CVE-2024-3833 Chrome的渲染器沙盒RCE

CVE-2024-3833 Chrome沙盒RCE

新的网络威胁'Boolka'通过SQLi攻击部署BMAMAGER木马

Chrome 插件：lazyegg - URL 中提取各种类型的数据

在线咨询

微信