javascript - 第 21 | CN-SEC 中文网

安全文章

JSON解析不一致性漏洞探究

一背景JSON（JavaScript Object Notation）是一种轻量级的数据交换格式，易于人阅读和编写，同时也易于机器解析和生成。它基于JavaScript语言标准ECMA-262第...

04月10日45 views评论

阅读全文

安全文章

DOM Clobbering技术防御详解

更多全球网络安全资讯尽在邑安全写在前面的话本文将给大家介绍一种名为DOM Clobbering的技术，并为经验丰富的安全研究人员和开发人员提供针对DOM Clobbering漏洞的安全开发指南。关于D...

04月10日10 views评论

阅读全文

安全博客

JavaScript in V8

the pic can not show up but if you really wanna see you can use the pic link, that should be fine.I ...

04月03日17 views已关闭评论

阅读全文

安全博客

某某街一处XSS的绕过思路

众测吃便便 0x01 前言疫情影响，过年放假呆在家里实在无聊，上去某平台看了下众测项目，想着挣点口罩钱 0x02 直接闭合一开始尝试直接去闭合<a>标签，发现 "> 输出时会被实体化...

04月03日18 views评论

阅读全文

安全文章

如何手动和自动查找JS文件中的漏洞

今天我们将讨论渗透测试中的JavaScript（bug-hunting）以及如何手动和自动查找JS文件中的漏洞。首先，让我们了解 JavaScript。JavaScript 在 Web 开发中的重要性...

04月02日68 views评论

阅读全文

安全闲碎

VexTrio的浏览器指纹识别

大家好，今天我们将看看我在查看基于 Javascript 注入的恶意软件时遇到的一些东西：浏览器指纹识别。为此，我们将看看 VexTrio 的指纹识别阶段，VexTrio 是一种恶意 TDS（流量分...

03月28日25 views评论

阅读全文

安全文章

Pwn2Own 2021 Jscript9 远程代码执行漏洞

这是我前段时间为 Jscript9.dll 中的 JavaScript JIT 类型混淆漏洞编写的漏洞利用的简短文章。我展示了一种利用 JavaScript 引擎中类型混淆漏洞的经典技术。该漏洞利用完...

03月24日41 views评论

阅读全文

代码审计

原型污染漏洞的简析及利用

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

03月18日67 views评论

阅读全文

安全新闻

2024 年 5 种最适合黑客攻击的编程语言

由于微信公众号推送机制的改变避免错过文章麻烦您将公众号设为星标感谢您的支持！-->进入正题啦在不断发展的技术世界中，黑客攻击已成为普遍关注的问题。虽然一些黑客将他们的技能用于恶意目的，但其他黑客...

03月14日112 views评论

阅读全文

安全工具

深入探讨野外漏洞利用中使用的 V8 沙箱逃逸技术

介绍我们正在分析一个野外 V8 漏洞CVE-2023–2033。一旦我们利用了该漏洞，就不难获得典型的利用原语，例如addrof、V8堆中的读取和写入。问题是我们需要逃离 V8 沙箱才能获得代码执行。...

03月02日64 views评论

阅读全文

安全文章

开源应用程序导致 XSS 到 RCE 漏洞缺陷

跨站脚本 (XSS) 是 Web 应用程序中最常见的攻击之一。如果攻击者可以将 JavaScript 代码注入应用程序输出中，这不仅会导致 cookie 盗窃、重定向或网络钓鱼，而且在某些情况下还会导...

02月26日26 views评论

阅读全文

JSON解析不一致性漏洞探究

DOM Clobbering技术防御详解

JavaScript in V8

某某街一处XSS的绕过思路

如何手动和自动查找JS文件中的漏洞

VexTrio的浏览器指纹识别

Pwn2Own 2021 Jscript9 远程代码执行漏洞

原型污染漏洞的简析及利用

2024 年 5 种最适合黑客攻击的编程语言

最新定时任务SQL注入可导致RCE漏洞的一键利用工具（3月3日更新）

深入探讨野外漏洞利用中使用的 V8 沙箱逃逸技术

开源应用程序导致 XSS 到 RCE 漏洞缺陷

在线咨询

微信