javascript - 第 30 | CN-SEC 中文网

安全开发

Android本地搜索优化

引言在本文中，我们将通过 Android 本地搜索业务介绍如何使用 JavaScriptCore（以下简称 JSC）和Java Native Interface（以下简称 JNI）相关技术来实现搜索效...

05月18日35 views评论

阅读全文

安全文章

由403所发现的SSRF高危漏洞

前言在某次金融类众测项目中，笔者发现了一个几乎无从下手的系统，直接访问系统无任何功能，几乎相当于404 Not Found，甚至连JavaScript文件一个都不存在，最终通过渗透经验和一定的运气，拿...

05月18日91 views评论

阅读全文

网页鼠标右键菜单被禁的解决办法

2.2 网页鼠标右键菜单被禁https://scz.617.cn/web/202305151012.txtQ:有些网页应该是通过javascript禁用了鼠标右键菜单，现在能F12调出开发者工具，有没...

05月15日安全闲碎59 views评论

阅读全文

安全闲碎

白泽带你读论文｜FAST

如需转载请注明出处，侵权必究。论文题目：Scaling JavaScript Abstract Interpretation to Detect and Exploit Node.js Taint-s...

05月15日113 views评论

阅读全文

安全文章

JavaScript静态分析

讲故事某人邮件收到，预订酒店50%折扣活动。预订过程中出现了问题，信用卡已过期，某人试图联系银行。银行回应的是需要15个工作日。某人开打浏览器中的开发人员工具在网站上进行长时间的探索。发现了以下内容：...

05月15日40 views评论

阅读全文

安全文章

九维团队-绿队（改进）| XSS漏洞介绍与防御（上）

一、XSS介绍1.定义跨站脚本攻击即 XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为...

05月14日58 views评论

阅读全文

安全文章

突破前端JavaScript挖到漏洞

事情起因在某次难度较高的众测项目中，笔者遇到了一个看起来”绝对安全的系统“，项目上线几天后此系统仍然没有被测试出漏洞，在没有系统功能、各种访问404的、没有测试账户的情况下，仍然揪出了隐藏在角落的漏洞...

05月09日43 views评论

阅读全文

安全漏洞

【漏洞预警】ejs 存在服务器端模板注入漏洞

漏洞描述：EJS 是开源的 JavaScript 模板引擎，允许在HTML代码中使用JavaScript代码块，closeDelimiter 参数是 EJS 模板中的结束标记，用于指定结束分隔符。由于...

05月08日237 views评论

阅读全文

安全文章

CloudFront bypass

“>%0D%0A%0D%0A<x ‘=”foo”><x foo=’><img src=x onerror=javascript:alert(cloudfrontby...

05月08日41 views评论

阅读全文

安全文章

JavaScript原型链污染学习记录

0> 原型及其搜索机制• NodeJS原型机制，比较官方的定义：我们创建的每个函数都有一个 prototype（原型）属性，这个属性是一个指针，指向一个对象，而这个对象的用途是包含可以由特定类型...

05月05日51 views评论

阅读全文

企业安全

如何使用输入净化来预防Web攻击？

尽管我们在安全工具上投入了大量的成本，代码库仍可能是任何组织的网络安全中最薄弱的环节。净化和验证输入通常是第一层防御。多年来攻击者一直在钻典型漏洞的空子，成功率相当高。虽然高级威胁分子采用更复杂的方...

04月27日86 views评论

阅读全文

安全工具

DIE：基于保留属性变异的JavaScript浏览器引擎模糊测试工具｜工具分析

一、浏览器模糊测试简介在当前整个计算机网络环境中，web浏览器是应用最广泛的软件之一，针对浏览器发起的攻击层出不穷。近年来，浏览器安全事件频发，给人们带来严重的损失。而Fuzzing的自动化属性以及其...

04月23日45 views评论

阅读全文

Android本地搜索优化

由403所发现的SSRF高危漏洞

网页鼠标右键菜单被禁的解决办法

白泽带你读论文｜FAST

JavaScript静态分析

九维团队-绿队（改进）| XSS漏洞介绍与防御（上）

突破前端JavaScript挖到漏洞

【漏洞预警】ejs 存在服务器端模板注入漏洞

CloudFront bypass

JavaScript原型链污染学习记录

如何使用输入净化来预防Web攻击？

DIE：基于保留属性变异的JavaScript浏览器引擎模糊测试工具｜工具分析

在线咨询

微信