javascript - 第 5 | CN-SEC 中文网

SRC漏洞挖掘之文件上传漏洞挖掘实战指南

文件上传漏洞是Web应用程序中常见的安全隐患之一。通过上传恶意文件，攻击者可以实现远程代码执行、获取服务器权限甚至控制整个系统。本文将从文件上传漏洞的原理、分类到实际挖掘步骤进行详细解析，并结合实战案...

03月17日安全文章50 views评论

阅读全文

安全新闻

5步发现，3招防御：解密被安全圈忽视的致命漏洞CSPT

在网络安全的世界里，我们经常听到关于SQL注入、XSS跨站脚本攻击等常见威胁的讨论，但有一种危险的漏洞却很少被提及，直到它造成严重后果时才引起人们的注意——这就是客户端路径遍历（Client-Side...

03月16日22 views评论

阅读全文

安全文章

深度剖析：苹果WebKit零日漏洞（CVE-2025-24201）如何被用于复杂攻击

近日，苹果公司发布紧急安全更新，修复了WebKit浏览器引擎中的一个零日漏洞（CVE-2025-24201）。苹果罕见地指出，该漏洞已被用于针对特定个体的“极其复杂的攻击”，但出于安全考虑，并未公布攻...

03月14日85 views评论

阅读全文

人工智能安全

Andorid JSB基于来源校验的防护绕过分析

引言在移动混合开发中，JavaScript Bridge（JSB）作为连接Web与原生代码的核心组件，极大提升了开发效率，但同时也引入了显著的安全风险。攻击者可能通过JSB漏洞越权调用敏感API，导致...

03月14日11 views已关闭评论

阅读全文

安全文章

JavaScript 引擎利用中的 WebAssembly 类型混淆概述

介绍WebAssembly 是一种相对低级的语言和虚拟机，比 JavaScript 等高级语言更接近真实的 CPU。最初，WASM 支持基本类型：类型描述i32 32 位整数i64 64 位整数f3...

03月13日29 views评论

阅读全文

安全新闻

幽灵插件困扰超过一百万终端，劫持搜索结果和用户数据

关键词网络攻击奇安信威胁情报中心发现了一项大规模网络攻击，影响了全球超过一百万互联网用户。该攻击活动自 2021 年以来一直活跃，涉及分发一种名为“Ghost Plugin”的恶意浏览器插件。这种阴险...

03月11日62 views评论

阅读全文

安全文章

利用 WebView 漏洞：绕过 SOP 访问内部应用程序文件

你有没有想过能够从 Android 应用程序中窃取内部文件，例如文件或其他敏感数据？在本文中，我将通过解决 hextree.io 中的实验问题来向您介绍如何完成此作。.db 初步分析首先，我在 An...

03月05日15 views评论

阅读全文

安全新闻

朝鲜Lazarus APT组织利用跨平台JavaScript窃取器瞄准加密货币钱包

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【....

03月05日39 views评论

阅读全文

ECDSA 签名中的私钥泄露：elliptic 库畸形输入漏洞分析

作者：enze编辑：Liz引言近期，JavaScript 生态中广泛使用的 elliptic 加密库被发现存在严重安全漏洞（GHSA-vjh7-7g9h-fjfh）。攻击者可以通过构造特定输入，在仅签...

03月04日安全新闻45 views评论

阅读全文

安全新闻

2025年前端与AI技术大盘点和展望

作者：owen时光飞逝间，2024 年已悄然划过技术长河。纵览这一年前端技术大舞台，虽没有出现革命性的明星项目，但各细分领域都呈现持续深耕与创新突破的态势。接下来让我们一起乘坐时光机重回 2024，共...

03月03日43 views评论

阅读全文

安全文章

利用过时的 Electron 功能在日本著名聊天工具中实现 RCE

大家好，我是 RyotaK（@ryotkak ），GMO Flatt Security Inc. 的安全工程师。前段时间，我报告了日本流行的通讯工具 Chatwork 中存在的一个远程代码执行漏洞，...

03月02日35 views评论

阅读全文

安全文章

Web安全中的XSS攻击详细教学，Xss-Labs靶场通关全教程（建议收藏）（一）

免责声明文章内容仅限授权测试或学习使用请勿进行非法的测试或攻击，利用本账号所发文章进行直接或间接的非法行为，均由操作者本人负全责，云梦安全及文章对应作者将不为此承担任何责任。文章来自互...

03月02日18 views评论

阅读全文

SRC漏洞挖掘之文件上传漏洞挖掘实战指南

5步发现，3招防御：解密被安全圈忽视的致命漏洞CSPT

深度剖析：苹果WebKit零日漏洞（CVE-2025-24201）如何被用于复杂攻击

Andorid JSB基于来源校验的防护绕过分析

JavaScript 引擎利用中的 WebAssembly 类型混淆概述

幽灵插件困扰超过一百万终端，劫持搜索结果和用户数据

利用 WebView 漏洞：绕过 SOP 访问内部应用程序文件

朝鲜Lazarus APT组织利用跨平台JavaScript窃取器瞄准加密货币钱包

ECDSA 签名中的私钥泄露：elliptic 库畸形输入漏洞分析

2025年前端与AI技术大盘点和展望

利用过时的 Electron 功能在日本著名聊天工具中实现 RCE

Web安全中的XSS攻击详细教学，Xss-Labs靶场通关全教程（建议收藏）（一）

在线咨询

微信