【翻译】Hunting Common Misconfigurations in Electron Apps - Part 1 Electron 应用程序通过将 Node.js 和 Chromium 技...
记一次NodeJS后端代码审计
01NodeJS基本框架结构 app.js文件:通常是一个 Node.js 应用程序的入口文件,它设置了应用程序的各种参数和配置,包括连接数据库、使用中间件等。对于 Web 应用程序来说,它可以设置路...
Axios 的代理问题探究
愿灾区人民平安0x01 简介大家好,我们是 NOP Team ,今天和大家讨论一下关于 node.js 和 Electron App中 axios 代理的问题Axios 是一个基于 promise 的...
Node.js 系统信息包中发现了一个严重的命令注入漏洞
在广泛使用的 Node.js 系统信息包中发现了一个严重的命令注入漏洞 (CVE-2024-56334),该信息包的月下载量超过 800 万次,总下载量达到惊人的 3.3 亿次。该漏洞可允许攻击者执行...
利用服务器端模板注入攻击
点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见严正声明本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...
如何抓取VX小程序源码
一、工具准备解密工具逆向工具wxappUnpacker下载地址:https://www.aliyundrive.com/s/HAjCdFtFhDX二、解密小程序1.看下PC端微信小程序存放路径打开解密...
nodejs请求走私与ssrf
最近看到hackthebox一道题,关于nodejs请求走私的,学到不少东西,这里记录一下。1. 先说题目题目直接给了源码,题目名字是weather app,大家有兴趣可以直接去hackthebox做...
Node.js权限绕过漏洞
1. 通告信息近日,安识科技A-Team团队监测到Node.js官方发布更新公告,修复了一个权限绕过漏洞,漏洞编号:CVE-2023-23918,漏洞等级:高危。对此,安识科技建议广大用户及时升级到安...
实战:渗透一个node站点拿到后台权限
前言 遇到一个站,后端是Node.js写的,对于这种类型的站点,一般比较难getshell,但也实现了最终的目标,拿到后台权限 信息搜集 先进行常规的信息搜集,子域名扫描、端口扫描、目录扫描等 这个站...
如何将 Node.js 应用程序中的文件写入提升为 RCE
基础设施加固确实能增强应用程序抵御攻击的能力。这些安全措施提高了攻击者的门槛,使漏洞利用变得更加困难。但是,我们不能把它当作解决一切问题的银弹,因为执着的攻击者仍然可以利用源代码中的漏洞实现突破。在这...
JavaScript学习笔记分享 (1)
0x01 JavaScript是什么?JavaScript简介JavaScript 与 HTML 和 CSS 共同构成了我们所看到的网页,其中:JavaScript 用来实时更新网页中的内容,例如从服...
如何在本地部署纸砚双拼
纸砚双拼是一个双拼练习网站:# 纸砚双拼https://shuangpin.simplenaive.cn/源码地址在:https://github.com/Yidadaa/shuangpin它是基于V...